NOTITIE Aan Van Datum Betreft Dossiernummer Bijlagen
: Aan (plv.) leden van het College van Afgevaardigden : Jan Leliveld : 25 november 2011 : authenticatiemiddel : 7.7.3 : Voorlopig concept Verordening
Inleiding. Vanwege de hack bij Diginotar, de leverancier van de software certificaten van de advocatuur, is de Algemene Raad op zoek naar een nieuw authenticatiemiddel voor de advocatuur en daarmee naar een nieuwe leverancier. De problematiek dient voortvarend ter hand te worden genomen. Met het opzeggen van het vertrouwen in DigiNotar, en dus in de certificaten, is de vertrouwelijkheid van de digitale communicatie van advocaten met en over hun cliënten onvoldoende gewaarborgd. Bovendien wordt de dagelijkse praktijkvoering door het ontbreken van een beveiligde toegang tot de verschillende websites ontregeld. Een goed alternatief dient zo spoedig mogelijk aangeboden te worden. Niet in de laatste plaats vanwege de impact van de keuze, zowel financieel als organisatorisch (het betreft daarbij een keuze voor de langere termijn), is bij die keuze grote zorgvuldigheid geboden. De urgentie enerzijds en de wens om besluitvorming te laten plaatsvinden op basis van voldoende inzicht bij uw College anderzijds, brengt met zich mee dat de voorbereiding op de besluitvorming een wat andere route kent. Dit stuk bereikt u kort voor de vergadering. Toch spreekt de AR de hoop uit dat u tot besluitvorming zoals verwoord aan het einde van deze notitie over kunt gaan. Juist omdat vertrouwelijke digitale communicatie nu onvoldoende is gewaarborgd, is een vertraging in het beschikbaar krijgen van een goed alternatief van twee maanden zeer onwenselijk. 1. Acties sinds de laatste vergadering van het College: -
-
-
-
Er zijn experts ingeschakeld die ons kunnen adviseren op het gebied van de integriteit van systemen, authenticatiemiddelen, infrastructuur, medewerkers etc. Een klankbordgroep vanuit de advocatuur, vier IT-specialisten, staat de AR bij. De webapplicaties van de Orde zijn grondig getest op de beveiliging. Uit de rapportage bleek dat sprake is van een goede bescherming. Een plan van aanpak waarin alle beveiligingsissues die op het kantoor van de Orde spelen worden meegenomen is deze maand gereed. Met updates op de website van de Orde en nieuwsbrieven wordt de achterban op de hoogte gehouden van de ontwikkeling op dit dossier http://www.advocatenorde.nl/3837/advocaten/update-diginotar.html. De brief d.d. 1 november 2011 van Jan Leliveld aan het CvA is inmiddels ook op deze site gepubliceerd. De Raad voor de Rechtspraak heeft het Digitaal Loket weer ontsloten. De toegang hiervoor is middels een tussenoplossing, username en password, gerealiseerd. Orde en Raad hebben over de ins en outs van deze tijdelijke oplossing uitgebreid met elkaar van gedachten gewisseld. De Orde heeft aangegeven zich niet te kunnen vinden in de financiële consequenties die de Raad heeft verbonden aan de openstelling, een fee van €22,50 voor een jaar toegang. Dit standpunt is in een brief bevestigd. Wel zijn Raad en Orde het met elkaar eens dat de toegang tot de rol op korte termijn met betere garanties rond de beveiliging omgeven moet worden. Er heeft overleg plaatsgevonden met de KLPD, het OM en het Ministerie van VenJ over het feit dat de invoer van de extranummers in het nummerherkenningssysteem stagneert. Ook hiervoor zijn tijdelijke maatregelen in het leven geroepen. Alle kantoren kunnen binnenkort nummers die
1
-
niet meer worden gebruikt verwijderen en voor de strafrechtkantoren die nog geen nummers hadden opgegeven is een mogelijkheid gecreëerd dit alsnog te doen. Het offertetraject met leveranciers van authenticatiemiddelen is gestart. De daarvoor noodzakelijke requirements en het advies over het vereiste beveiligingsniveau zijn uitgewerkt. Op 28 november heeft een informatieve bijeenkomst voor leden van het CvA plaatsgevonden. Een concepttekst voor de verordening die verplicht gebruik van het middel voorschrijft, is uitgewerkt.
2. Beveiliging. De mate van zekerheid die nodig is bij elektronische identiteitsverificatie, het vereiste authenticatieniveau, kan aangeduid worden met een STORK-niveau. Binnen STORK zijn 4 zekerheidsniveaus gedefinieerd die lopen van 1 voor minimale zekerheid over de identiteit tot en met 4 voor zeer hoge zekerheid over de identiteit. Om in te schatten wat het minimaal vereiste authenticatieniveau per applicatie is, is het nodig de risico’s te kennen. Die worden ingeschat op basis van een risicoanalyse. Op basis van de risicoanalyse kan door beveiligingsexperts een inschatting gemaakt worden van de eisen die aan het authenticatieproces gesteld worden. Deze eisen kunnen vertaald worden naar een STORK niveau. Als uitgekomen wordt op een bepaald STORK niveau is dit het minimaal vereiste niveau en voldoen ook hogere STORK niveaus. Risicoanalyse 1 Een authenticatiemethode is een onderdeel van alle maatregelen die genomen moeten worden om een applicatie of informatieuitwisseling te beveiligen. Voor een juiste inschatting van het vereiste niveau van informatiebeveiliging is het gebruikelijk een volledige risicoanalyse uit te voeren op het gehele systeem. Voor de keuze van een authenticatiemethode voor de Orde is een verkorte risicoanalyse per applicatie uitgevoerd. Het gebruik van een bepaald niveau van authenticatie biedt nog geen zekerheid dat de applicatie afdoende is beveiligd of dat er geen toegang door onbevoegden verkregen kan worden. Daarvoor moet op diverse fronten maatregelen zijn genomen, zoals in de betreffende en aangrenzende systemen, fysieke toegangsbeveiliging, procedures en training van gebruikers. Een risico bestaat uit de kans op misbruik en de impact van dit misbruik. Het risico voor een applicatie is de vermenigvuldiging van deze twee factoren. De kans op misbruik van een systeem is vooral afhankelijk van het belang dat kwaadwillenden bij het systeem hebben, maar ook van factoren als schaalgrootte en publieke toegankelijkheid. Het aanvalspotentieel speelt hierbij een grote rol: een opportunistische aanvaller verschilt wezenlijk van een bekwaam en volhardende aanvaller. Bij de laatste zal een zwakkere authenticatiemethode eerder worden doorbroken dan de eerste categorie aanvallers. De impact van misbruik is de omvang van de gevolgen die op kunnen treden bij misbruik. Dit zijn zaken als het verloren gaan van geldelijke middelen, tijd, reputatie, verlies van gegevens of publiek worden van vertrouwelijke informatie. Hoe groter de kans op misbruik en de impact daarvan, hoe groter het risico. Een groter risico rechtvaardigt een sterker authenticatieniveau. Een sterker authenticatieniveau verlaagt de kans dat een aanval leidt tot succesvol misbruik van een systeem, doordat deze een hoger aanvalspotentieel weerstaat. Ook kunnen er maatregelen genomen worden om de impact te verlagen. De risicoanalyse per website laat zien dat voor het merendeel van de websites zoals Nummerherkenning, het BalieNet met daarop de uitslagen van de examens van de stagiaires, het digitaal loket, het digitaal aanvragen van toevoegingen bij de Raad voor de Rechtsbijstand (nu nog in de pilot-fase) etc. sprake moet zijn dat een authenticatiemethode STORK niveau 3. De AR heeft daarom vastgesteld dat de communicatie tussen advocaten en websites voldoende beveiligd plaatsvindt indien deze opgestart wordt met een middel dat STORK 3 borgt. 1
Een authenticatiemethode omvat de uitgifte van een authenticatiemiddel, het authenticatiemiddel zelf en de wijze om met dit middel een authenticatie uit te voeren.
2
De vereisten die dan gesteld worden zijn: De identiteit bij registratie wordt met een hoog niveau van zekerheid vastgesteld. o De naam, geboortedatum e.d. van de persoon is gecontroleerd tegen een geldig ID-bewijs. o Authenticatiemiddelen moet in persoon zijn uitgereikt (face to face). o De uitgevers van middelen staan onder toezicht van de overheid. De authenticatie methode (middel en het uitvoeren van de online authenticatie controle daarmee): o gebeurt met een robuust middel, dit mag een certificaat of OTP-token of smartcard zijn. o een veilige methode gebruikt voor authenticatie, praktisch gezien is dit minstens 2factor authenticatie. Dit middel is niet voorzien van een certificaat. 3. Overige lessons learned. Het feit dat er een hack kon plaatsvinden bij onze certificaatverstrekker was een indringende wake up call ten aanzien van het beveiligings-, en integriteitsbeleid. Tal van zaken worden tegen het licht gehouden en getest, vragen worden opnieuw gesteld en uitgangspunten geijkt. Voor zover wij nu hebben kunnen nagaan heeft deze hack de Orde niet geraakt. De DigiNotar kwestie heeft ook andere onderwerpen weer urgenter gemaakt. Zo is ook de bewustwording onder advocaten dat een cliënt moet kunnen vertrouwen op een beveiligde informatie-uitwisseling met zijn advocaat van groot belang. Het gaat dus niet alleen om de interne processen van de Orde, maar ook om digitale communicatie tussen de advocaat en zijn cliënt. Voor het e-mailverkeer tussen advocaat en cliënt geldt dat de vertrouwelijkheid gegarandeerd is als dat door middel van encryptie geschiedt en voorzien is van een geautoriseerde handtekening. Hiermee staat dan vast van wie de mail afkomstig is. Alleen een pas voorzien van een certificaat biedt de mogelijkheid tot deze op STORK 4 beveiligde communicatie Het is belangrijk te beseffen dat het gebruik van encryptie door de advocaat ook aan de zijde van de cliënt vraagt dat deze gebruik maakt van encryptie. Voor veel van onze cliënten is dat niet het geval. Aan deze oplossing zijn hogere kosten verbonden. Deze oplossing wordt voor de toekomst wenselijk geacht maar nu niet verplichtend voorgeschreven. De AR veronderstelt wel dat een deel van de balie op korte termijn gebruik wil maken van bv de geautoriseerde digitale handtekening, en over een middel STORK 4 wil beschikken. De advocaten die een pas met een certificaat willen ontvangen, kunnen dit voor de uitreiking van de pas aangeven. In dat geval zal een pas met daarop een geactiveerd certificaat worden uitgereikt. 4. Gebruikers. De hierboven opgesomde websites worden niet alleen door advocaten, maar ook door hun secretaresses, de chef de bureaus, kantoordirecteuren etc. bezocht. Gelet op hetgeen hierboven opgemerkt is over de beveiliging, moet geconcludeerd worden dat als anderen dan advocaten de sites bezoeken ook zij over een middel met STORK 3 moeten beschikken. We gaan er in onze contacten met de leveranciers vanuit dat er zeker 20.000 middelen uitgereikt gaan worden, immers aan alle advocaten en vervolgens nog gemiddeld één extra per kantoor. 5. Een schets van het middel. Uitgangspunt is een authenticatiemiddel dat voldoende beveiliging kan bieden. Uit het voorgaande volgt dat dit een authenticatiemiddel met bijbehorend uitgifte- en authenticatieproces dient te zijn op minimaal STORK niveau 3. Om te voldoen aan het uitgangspunt dat geen installatie van middleware nodig is en het middel zo goedkoop mogelijk moet zijn, lijkt een authenticatie-oplossing op basis van O(ne)T(ime)P(assword) generatie het meest voor de hand te liggen.
3
Om te voldoen aan de eis dat het middel tevens dienst moet kunnen doen als advocatenpaspoort betekent dit wel dat de OTP generator voor advocaten in de vorm van een pas moet zijn die voorzien kan worden van naam en pasfoto. Voor medewerkers is het niet strikt noodzakelijk dat het authenticatiemiddel voorzien kan worden van pasfoto en naam. Daarom voldoet als authenticatiemiddel voor medewerkers ook een OTP token. Wel dient uitgifte van een OTP token aan medewerkers plaats te vinden op dezelfde manier als de uitgifte van het middel voor advocaten met onder meer face2face controle bij uitgifte en registratie van welk middel aan welke gebruiker is uitgereikt. Voor medewerkers wordt door de Orde gekozen voor de goedkoopste optie op basis van de verwachte aantallen gevraagde authenticatiemiddelen voor medewerkers. Om tevens te voldoen aan het uitgangspunt van optionele elektronische handtekening functionaliteit, smartcard logon en mogelijkheid tot vercijfering is naast de OTP generator een chip op pas nodig Dit betekent dus dat het authenticatiemiddel voor advocaten: een pas is voorzien van naam en foto met OTP generator en indien elektronische handtekening functionaliteit gewenst is een chip. (De chip moet standaard aanwezig zijn als elektronische handtekening, STORK 4, functionaliteit post-issuance toegevoegd kan worden aan het middel.) Voor medewerkers is het authenticatiemiddel: een pas voorzien van naam met OTP generator en indien elektronische handtekening functionaliteit gewenst is een chip. Als alternatief kan het authenticatiemiddel voor medewerkers zijn: Een OTP token (uitgereikt op naam in een face2face proces). De keuze van het authenticatiemiddel wordt gebaseerd op de laagste prijs. Het middel mag ook gebruikt worden voor kantoorspecifieke toepassingen zoals het beveiligingen van de logon, het opzetten van een VPN verbinding en het verzorgen van vertrouwelijke communicatie. Daarvoor zullen aan het middel, als dit voorzien wordt van functionaliteit voor een elektronische handtekening, ook sleutelparen en certificaten toegevoegd worden voor authenticatie op basis van een hard certificaat en versleuteling. De Orde ondersteunt het realiseren van kantoorspecifieke toepassingen niet actief, maar zal hiervoor doorverwijzen naar de leverancier. 6. Uitgangspunten bij het offertetraject: -
-
Er komt één identificatie/authenticatiemiddel voor de advocatuur. Het advocatenpaspoort wordt geïntegreerd met het digitale middel, STORK 3. Niet advocaten die de websites bezoeken moeten beschikken over een authenticatimiddel, STORK 3 Het moet een gebruikersvriendelijke oplossing zijn met zo min mogelijk installatieproblemen. Het middel moet voldoen aan tal van zeer gebruikelijke standaards zodat onder gebruikmaking van het middel ook op sites van externen ingelogd kan worden (Raad voor de Rechtspraak, Raad voor Rechtsbijstand). De middel dient acceptabel geprijsd te zijn. Het dient toekomstbestendig te zijn, we denken hierbij aan een goede acceptatie van het middel voor een periode van drie jaar. Het middel dient een goede beveiliging van de communicatie op niveau 3, te garanderen en de mogelijkheid te bieden voor het gebruik van een geautoriseerde handtekening en het middels encryptie versturen van mails.
4
7. Financiële consequenties. We hebben prijsindicaties van een tweetal leveranciers ontvangen en overwegen een derde te vragen ook te offreren. Onze keus hebben we beperkt tot leveranciers die volgens de OPTA bevoegd zijn tot levering van PKIO certificaten. Deze certificaten zijn binnen de Nederlandse relevante websites goed geaccepteerd. Tijdens de vorige vergadering van het College is aangegeven dat u – zonder vooruit te willen lopen op offertetrajecten - rekening dient te houden met een bedrag van ongeveer €100,- per pas per jaar. Inmiddels kan er een wat nadere indicatie 2 worden gegeven. Een pas incl. certificaat zal bij de aanschaf tussen de €280 en €345,- kosten. Een pas zonder certificaat of een ander OTP genererend middel zal tussen de €90 en de €205 kosten. In de onderhandelingen zal de Orde trachten het beste resultaat tegen de beste prijs en voorwaarden voor u te realiseren. De mogelijkheden van een gespreide betaling zullen in het traject worden ingebracht. In het onderhandelingstraject laat de Orde zich bijstaan door één van de advocaten uit de klankbordgroep. De kosten voor de passen worden, zoals ook tijdens de vorige College vergadering aangegeven, aan de advocaten - en voor zover van toepassing kantoren - doorberekend. De ontwikkelkosten worden door de Orde gedragen. Deze kosten bedragen,inclusief de kosten voor de uitrol maximaal €900.000,-. Deze kosten kunnen betaald worden uit het overschot van 2011 en zullen als bestemmingsreserve authenticatiemiddel terug te vinden zijn in de jaarrekening 2011. 8. Regelgeving. U treft een concepttekst voor een Verordening authenticatiemiddel advocatuur aan. De AR hecht eraan u te melden dat sprake is van een eerste schets van deze verordening. De tekst is bijgesloten om u inzage te geven in de zaken die rond het authenticatiemddel in elke geval geregeld dienen te worden. Besluitvorming. Vanwege de eerder gememoreerde urgentie vraagt de Algemene Raad : Het akkoord van het CvA voor de verplichting tot aanschaf van een authenticatiemiddel voor elke advocaat en ten laste van elke advocaat tot een bedrag van maximaal €345,- per advocaat voor de duur van 3 jaar na eerste uitreiking van het middel. Het akkoord van het CvA voor het maken van ontwikkelkosten voor een bedrag van maximaal €900.000 uit de in 2011 opgebouwde reserves.
2
Bedragen zijn exclusief BTW.
5