Gemeentelijke Informatiebeveiliging & Privacybescherming: Een complexe uitdaging
Ronald Paans Stef Schinagl Edward van Egmond
Noordbeek & vrije Universiteit amsterdam 11 juni 2015 File: PaansR Gemeente BIG IB&P Risk workshop © 2015, Version: 0.100
[email protected] www.noordbeek.com Phone +31 71 3416911
Programma INFORMATIEF EN INTERACTIEF 1. De uitdagingen voor de Gemeente – Wat vinden B&W belangrijk? – Budget voor IB&P? 2. Wet bescherming persoonsgegevens (Wbp) 3. Privacy Impact Assessment (Toetsmodel PIA Rijksdienst) 4. Meldplicht datalekken 5. Risico-appreciatie vanuit het oogpunt van het College van B&W – Tonen wij een herkenbare plaat voor risico-erkenning en zal deze plaat bijdragen aan draagvlak? Centraal staan • Informatiebeveiliging & Privacybescherming (IB&P) • Baseline Informatiebeveiliging Gemeente (BIG) De BIG uitrol
2
De Gemeentelijke Context
3
Maatschappelijke Context OPGAVE VOOR GEMEENTEN • Decentralisaties: de gemeente is het beste in staat om de burger integraal te bedienen als de ‘meest nabije overheidslaag’ • Integraal is niet vanuit afzonderlijke ‘kolommen’, ‘domeinen’ of ‘sectoren’, maar met samenhang tussen verschillende vraagstukken en levensdomeinen als vertrekpunt voor de dienstverlening. • Regeerakkoord kabinet Rutte II – ‘Eén gezin, één plan, één regisseur’ – Decentralisaties in het sociale domein » Wet werken naar vermogen (WWnV), toeleiding naar werk » Algemene wet bijzondere ziektekosten (AWBZ) » Wet maatschappelijke ondersteuning (Wmo 2015) » Jeugdhulpverlening – Dit vergt één budget en één verantwoordelijke van overheidszijde – ‘Einde aan vele langs elkaar heen werkende hulpverleners bij de ondersteuning van één gezin’ • Maar hoe vult de gemeente dit in, met compliance aan wet- en regelgeving? De BIG uitrol
4
Archetypen 1 t/m 5 voor Gemeentelijke Informatievoorziening (Model VNG en KING) 1. Transitieproof (zoals het was)
Bijstand Participatie wet
Sociale Dienst
Minima
Jeugdzorg
Participatiewet Wmo 2015 Schuldhulpverlening Minimabeleid Jeugdzorg
2. Totaal Integraal (één loket)
3. Geclusterd Integraal
Wmo 2015
Bijstand Participatiewet
Wmo 2015 Jeugdzorg
Sociale Dienst Minima
4. Integraal in 2de Instantie: Eerst 1 en dan groeien naar 2 5. Geclusterde Integraliteit Elders: Archetype 2 met daarachter andere instanties IB&P zorgen, zoals • Concentratie gegevens, ontsluiting, eigendom van gegevens • Privacy issues, derden etc.
5
Juridische Context Wetten en regelingen die van toepassing zijn (niet limitatief) • Wet Bescherming Persoonsgegevens en Vrijstellingsbesluit Wet Bescherming Persoonsgegevens (Wbp) • Wet Openbaarheid van Bestuur (WOB) • Wet Computercriminaliteit II • Comptabiliteitswet • Archiefwet • Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) • Wet Veiligheidsonderzoeken (WVO) • Wet Politiegegevens (Wpg) • Ambtenarenwet • Voorschrift Informatiebeveiliging Rijksdienst • Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI 2012) • Beveiligingsvoorschrift 2005 (BVR) • CAR-UWO De BIG uitrol
• PUN • Algemene Rijksvoorwaarden bij ITovereenkomsten (ARBIT 2010) • Kader Rijkstoegangsbeleid • Uitgangspunten online communicatie rijksambtenaren • Programma van Eisen PKI Overheid • Code voor Informatiebeveiliging (ISO 27001:2005 en ISO 27002:2007) • Telecommunication Infrastructure Standard for Data Centers (TIA-942) • Wet SUWI • Wet op de identificatieplicht • Wet Elektronisch Bestuurlijk Verkeer (WEBV) • Wet GBA en wet BRP • Wet Werk en Bijstand • Registratiewet • Algemene wet bestuursrecht • Richtlijnen van het NCSC • Meldplicht Datalekken Bron: BIG Tactische Baseline 6
Digitaal 2017
Generieke Digitale Infrastructuur van de overheid (GDI) Regeerakkoord: Burgers en ondernemers doen uiterlijk in 2017 digitaal zaken met overheidsinstanties (Digitaal 2017) Wetsvoorstellen in voorbereiding • Plateau 1: Algemene informatie staat online die nodig is om zaken digitaal af te handelen • Plateau 2: Uitbreiden van het interactief digitaal zaken doen, voorzieningen zoals DigiD / eHerkenning (later eID) en berichtenboxen • Plateau 3: Digitaal 2017 (eind 2017). Burgers en bedrijven kunnen eenvoudig digitaal hun zaken regelen met de overheid. Minimaal is het digitaal aanvragen mogelijk. Vooringevulde formulieren voor de meest gebruikte producten Gewenste situatie per 2020: Burgers en bedrijven voeren de regie over hun zaken met de digitale overheid Bron: http://www.digitaleoverheid.nl/digitaal-2017/digitalisering-aanbod/wetgeving, juni 2015
De BIG uitrol
7
Digitaal 2017 … Bestaande wetgeving voor papieren aanvragen en beschikkingen wordt aangepast aan digitalisering • Algemene wet bestuursrecht: Burgers en bedrijven krijgen het recht op elektronisch zakendoen • Bekendmakingswet: Burgers en bedrijven moeten alle relevante overheidsinformatie digitaal kunnen raadplegen • Wet Generieke Digitale Infrastructuur (WGDI) – Eerste tranche regulering voor Overheid.nl, MijnOverheid.nl, Berichtenbox voor burgers, Ondernemersplein, Berichtenbox voor bedrijven en DigiD – De verplichting tot aansluiten en gebruik wordt gefaseerd ingevoerd – Tweede tranche waarschijnlijk regulering voor publieke eID middelen zoals eNIK, eRijbewijs en eVreemdelingenpas eNIK = elektronische Nederlandse Identiteitskaart
De BIG uitrol
8
IB&P Context De IB&P onderwerpen, die op dit moment worden onderkend, zijn • Inrichten Informatiebeveiliging • Privacy Impact Assessment (PIA) • Risicoanalyse (inclusief GAPanalyse) • Dataclassificatie • Beheer ICT-componenten • Awareness informatiebeveiliging • Meldplicht Datalekken en meldplicht Inbreuken op elektronische informatiesystemen • Responsible Disclosure • Authenticatie en Autorisatie (inclusief wachtwoorden, DigiD, eID) • Inkopen / aanbesteden
De BIG uitrol
• • • • • • • • • • • •
Secure Software Development Persoonsgegevens Medische gegevens Strafrechtelijke gegevens Testen met persoonsgegevens Delen gegevens met derden Tijdig verwijderen en vernietigen Mobiele apparaten waaronder Bring Your Own Device (BYOD) Communicatie & Opslag Telewerken Cloud Computing Big Data
Bron: KING Handreiking Informatiebeveiliging 3D
9
IB&P ZORGEN (VNG en KING) • Ieder cluster vergaart informatie per burger / huishouden, waardoor er meer privacygevoelige informatie op één (digitale) locatie komt • Toegangsrechten binnen systemen en tot informatie: Wie (functie-type) mag waarom welke informatie zien? • Auditlogging: Hoe controleren wij achteraf wie wat heeft ingezien, wanneer en voor welke taak? • Welke informatieverwerking vindt plaats buiten de eigen organisatie? • Hoe wisselen wij veilig informatie uit met derden? • Welke informatie wordt opgeslagen bij derden? • Hoe verwijdert en vernietigt men gecontroleerd na de vastgestelde tijd? • Hoe wisselen diverse partijen verantwoordings-, stuur- en beleidsinformatie uit? • Welke informatie anonimiseren? • Zijn bestaande systemen hierop ingericht? • Etc. De BIG uitrol
10
Oplossingen, voorbeelden
Procedurele oplossingen • De Nationale Politie kende 10 jaar geleden een soortgelijke problematiek • Dit is opgelost met speciale wetgeving, de Wet politiegegevens (Wpg) • Veel aandacht voor classificatie en isolatie: Art 8 info = blauw, Art 9 info = recherche, Art 10 info = CIE+RID, Art 12 info = informant • Verplicht autorisatiebeheer met autorisatieloketten etc. Technische oplossingen • UWV heeft Sluitend Autorisatiebeheer ingericht, met strikte procedures en interne controle • Gebaseerd op een centrale oplossing met een Autorisatie Beheer Systeem en geautomatiseerde Autorisatie Verschillen Analyse Randvoorwaarden bij Gemeenten • Veel diverse legacy systemen, ombouwen of vernieuwen is kostbaar • Ga er vanuit dat de huidige systemen nog een tijd moeten meegaan De BIG uitrol
11
Stelling: Gemeentelijk budget voor IB&P
STELLING Het College van B&W geeft op basis van bovenstaande uitdagingen spontaan voldoende budget voor het inrichten van IB&P, conform de Architectuur voor Informatie Voorziening Sociaal Domein van VNG en KING (Archetypen 1 t/m 5) PRO • B&W vinden IB&P heel belangrijk en volgen spontaan VNG en KING CONTRA • De Gemeente zet haar prioriteit bij het inrichten van de lokale processen om de Participatiewet, WWnV, Wmo, jeugdhulpzorg etc. uit te kunnen voeren • De Gemeente is niet van plan de architectuur van de applicaties te wijzigen conform de Archetypen AFWEGING • Waarom wel of niet? De BIG uitrol
12
Privacybescherming
13
Wet bescherming persoonsgegevens (Wbp) Persoonsgegevens • De Wet bescherming persoonsgegevens (Wbp) is van toepassing op gegevens betreffende geïdentificeerde of identificeerbare natuurlijke personen • Er wordt speciale aandacht gegeven aan bijzondere persoonsgegevens, waarvoor verzwaarde regimes gelden • Zorgen van de wetgever – Datamining in privacygevoelige informatie – Profiling: conclusies trekken over personen op basis van algoritmen en computerberekeningen – Informatie komt in verkeerde handen of belandt op straat etc. INFORMATIE Regel: Waardevoller, minder personen met toegang
Klasse 3: Vertrouwelijk
Klasse 2: Privacy
Klasse 1: Intern Klasse 0: Openbaar
Medische dossiers, keuringen, strafrechtelijke informatie Persoonsgegevens en gevoelige informatie Niet bedoeld voor verspreiding Bedoeld voor het publieke domein 14
Wet bescherming persoonsgegevens (Wbp) Wbp Art 16. Bijzondere persoonsgegevens • De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijk verleden en onrechtmatig of hinderlijk gedrag is verboden – Behoudens voor zover de Gemeente zich bij de uitoefening van haar taken kan beroepen op een algemene of specifieke ontheffing op het verbod Wbp Art. 9.4. Vertrouwelijke gegevens • Wettekst: ‘De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat’ • De verwerking van gegevens welke plaatsvinden onder bijzondere geheimhoudingsplichten, zoals het medisch beroepsgeheim of bij het gebruik van bijzondere opsporingsmiddelen, legt aan de Gemeente extra eisen op ten aanzien van de beveiliging – Bijvoorbeeld op het gebied van isolatie en strikt autorisatiebeheer De BIG uitrol
15
Proportionaliteit en Subsidiariteit Bij het identificeren van de te verwerken persoonsgegevens dient rekening te worden gehouden met Proportionaliteit • De inbreuk op privacy moet in balans moet zijn met het te behalen doel • De vraag: ‘is verwerking van deze persoonsgegevens nodig voor alle aspecten van het beleidsvoorstel?’ • De oplossingen mogen niet verder gaan dan wat absoluut nodig is om het gewenste resultaat te bereiken Subsidiariteit • Men zoekt de voor de betrokkene minst belastende weg om het te behalen doel te bereiken • De vragen: ‘is het alleen door middel van verwerking van deze persoonsgegevens mogelijk het gewenste beleidsmatige resultaat te bereiken? Zijn er alternatieven die niet of minder ingrijpend zijn voor de privacy?’ • Indien alternatieven voor de verwerking van persoonsgegevens met hetzelfde beleidsmatige resultaat voorhanden zijn, moet daarvoor worden gekozen
De BIG uitrol
16
Privacy Impact Analyse (Toetsmodel PIA Rijksdienst) De PIA wordt uitgevoerd bij de beoordeling van de effecten van nieuwe wet- en regelgeving en bij majeure wijzigingen op bestaande informatiesystemen, gegevensverzamelingen en de infrastructuur De PIA kent de volgende stappen 1. Stel de scope vast voor de analyse. De scope omvat a. De informatiesystemen, namelijk de functionaliteit b. De (deel)verzamelingen van de gegevens c. De relevante rollen binnen de informatiesystemen, namelijk hoe wordt de functionaliteit gebruikt d. De eigenaren 2. Definieer de basisinformatie, namelijk het type persoonsgegevens, het type verwerking, de noodzaak en de mogelijkheid tot gegevensminimalisering 3. Stel de doelbinding, koppeling aan andere systemen en gegevens, kwaliteit en profiling vast 4. Identificeer de betrokken instanties, informatiesystemen en verantwoordelijkheden 5. Beschrijft de vereisten voor beveiliging, bewaring en vernietiging 6. Beschrijf de processen voor transparantie en rechten van betrokkenen De BIG uitrol
17
Voorbeeld: Architectuur plattegrond voor een PIA SCOPE Ondersteuning en planning controles
Webformulieren 1. Klachten 2. Meldingen 3. Verzoeken
Database Opslag en gebruik
Controleurs
Invullen of aanvullen
Melders en Aanvragers
Call Center medewerkers
?
Digitale formulieren
Externe Partners
In kaart brengen • Scope en decompositie • Type en gevoeligheid van informatie • Informatiestromen • Gebruik van informatie • Verspreiding naar andere partijen etc.
Functioneel en Technisch Beheer
18
Wbp wordt AVG ROLLEN BIJ Wbp • Functionaris voor de Gegevensbescherming (FG) is optioneel • FG heeft directe lijn met een bestuurder • FG mag contact opnemen met de Autoriteit Persoonsgegevens - AP (voorheen College Bescherming Persoonsgegevens – CBP) Verandering door komende Europese ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) • Privacy Officer (PO) of FG wordt verplicht • Gesprekken met de bestuurder moeten worden genotuleerd • Notulen moeten worden geaudit • Boetes mogelijk tot € 100 miljoen of 5% van de omzet AFHANDELEN INCIDENTEN MET PRIVACY • Formeel proces nodig • Nieuwe aanpassing Wbp: Meldplicht Datalekken
De BIG uitrol
19
Samenvatting wijzigingen door AVG Behalve de hoge boetes brengt de Europese AVG de volgende veranderingen • Een intern privacybeleid is verplicht • Een PO of FG is verplicht • Privacy moet worden geïntegreerd als vast onderwerp binnen de bedrijfsvoering • De werking van de maatregelen voor privacybescherming moet jaarlijks worden gecontroleerd • De toepassing van Privacy Impact Assessments (PIA) wordt verplicht bij veranderingen in diensten en producten, processen en systemen • Bij veranderingen moet worden voldaan aan de principes van ‘Privacy by Design’ en ‘Privacy by Default’
Gezien de implicaties van de verordening is een goede voorbereiding nodig PIA’s helpen om de consequenties en risico’s gestructureerd in beeld te brengen en vormen een goede start voor de voorbereiding
De BIG uitrol
20
Meldplicht Datalekken
21
Meldplicht datalekken
‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP’ • Aangenomen door de Tweede Kamer op 10 februari 2015 • Aangenomen door de Eerste Kamer op 26 mei 2015 (nog niet van kracht) • Het voorstel betreft een wijziging van de Wbp en andere wetten in verband met de invoering van – Een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens – Uitbreiding van de bevoegdheid van het CBP om bij overtreding een bestuurlijke boete op te leggen » € 20.250 voor doorgifte aan niet-EU land » € 810.000 voor andere overtredingen, inclusief Meldplicht De onderstaande tabel is vooralsnog gebaseerd op het wetsvoorstel
De BIG uitrol
22
Normenkader voor de Meldplicht
Nr.
Norm
Doel
Meldplicht datalekken De meldplicht betreft inbreuken op beveiligingsmaatregelen voor persoonsgegevens. De regering wil de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Wettelijke basis. Wbp, wijzigingen op de Artikelen 14, 34a, 51a en 66.
MD.1.
Informeren CBP De Gemeente stelt het CBP onverwijld in kennis van een inbreuk op de beveiliging, die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
MD.2.
Informeren betrokkene De Gemeente stelt de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
De BIG uitrol
23
Normenkader voor de Meldplicht Nr. Norm MD.3. Informeren over de aard van de inbreuk
De kennisgeving aan het CBP en de betrokkene omvat de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de maatregelen om de negatieve gevolgen van de inbreuk te beperken. MD.4. Informeren over de gevolgen
De kennisgeving aan het CBP omvat een beschrijving van geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de Gemeente heeft getroffen om deze gevolgen te verhelpen. MD.5. Zorgvuldige informatievoorziening
De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd over de geconstateerde en de feitelijke gevolgen voor de verwerking van persoonsgegevens en de betrokkenen. MD.6. Registratie
De Gemeente houdt een overzicht bij van iedere ernstige inbreuk, de feiten omtrent de aard van de inbreuk, en de tekst van de kennisgeving aan de betrokkene. De BIG uitrol
24
DISCUSSIE De Telegraaf, maandag 8 juni 2015, 17:57
Mijnpgb toont privégegevens AMSTERDAM - Pgb-houders kunnen soms persoonlijke gegevens inzien van zorgverleners die voor anderen werken. • De Sociale Verzekeringsbank (SVB) heeft dossiers per ongeluk verkeerd gekoppeld, heeft de instantie bevestigd aan de NOS. De getoonde gegevens zijn adresgegevens, BSN-nummer, bankrekening, uurtarieven, betalingen en het type verleende zorg. Soms zijn ook zorgovereenkomsten in te zien. • Het lek is de zoveelste smet op de toch al niet vlekkeloze reputatie van het persoonsgebonden budget. VRAAG • Zou deze casus onder de Meldplicht Datalekken vallen? • Zo ja, welke acties dient de organisatie uit te voeren?
De BIG uitrol
25
Hoe om te gaan met de Wbp en Meldplicht, plus voorsorteren op de AVG ? PREVENTIEVE ACTIES • Organisatorische aspecten in kaart brengen, zoals PO en FG – Uitvoeren PIA’s voor de bestaande verwerkingen van persoonsgegevens – Inrichten van een PIA-proces voor toekomstige veranderingen • Zorgen voor een goede IB&P, conform de BIG – Nulmeting via de Business IB&P Requirements Analyse (BIRA), gericht op informatiesystemen en gegevensverzamelingen – Inrichten van een BIRA-proces voor toekomstige veranderingen • Zorgen voor veilige websites • Zorgen voor goed leveranciersmanagement, met Beveiliging Overeenkomst en Secure Software Development (SSD) REACTIEVE MAATREGELEN • In feite, dat is ‘wachten op de klap’. Waar en wanneer die komt valt niet te voorspellen, hopelijk nooit – Daarna snelle reactie conform de bovenstaande regels (de normen) – En aantoonbaar maken dat de preventieve acties zijn uitgevoerd De BIG uitrol
26
Aandacht van Bestuurders voor IB&P
27
Waarde van Informatie • Digitale informatie wordt binnen en buiten de overheid steeds waardevoller
• Dit zijn de ‘Te Beschermen Belangen’, oftewel Value at Risk • De dreigingen nemen snel toe, zowel in omvang als in ernst • Er zijn budgetten Informatiebeveiliging en Privacybescherming (IB&P), maar deze budgetten zijn eindig – Veelal richt men alleen de brede minimale beveiliging in (conform BIG) – Maar in feite moet men weten wat de ‘Te Beschermen Belangen’ zijn en vaststellen waar de echte waarde zich bevindt – Aan de hand van de echte waarde kunnen de juiste prioriteiten worden gezet bij het selecteren van de benodigde maatregelen • Het motto van deze aanpak is – ‘Men kan geld voor IB&P-maatregelen maar één keer uitgeven. Daarom is het van belang dat geld te spenderen aan de meest effectieve maatregelen, namelijk de maatregelen die de echte waarde (TBB) echt beveiligen’ De BIG uitrol
28
Risicomanagement
PROBLEEM • De BIG stelt: werk vanuit een risicobenadering – Maar geeft geen methode voor risicoanalyse • Er zijn vele methoden, die op zich goed zijn, maar bottom-up werken en niet tot het gewenste effect leiden • Wij presenteren een top-down benadering, plus een visueel middel om structuur aan te brengen
De BIG uitrol
29
RISICOANALYSEMETHODE GESCHIEDENIS • Er is een moderne classificatiemethode nodig om inzicht geven in de werkelijke waarde. Vervolgens wordt het risico bepaald • Jaren 60’, 70’ en 80’ – Toonaangevende ontwikkelingen op wetenschappelijk gebied » De Bell-LaPadula, Biba en Clark-Wilson modellen » Vooral militair gericht, en gebaseerd op de toenmalige informatie
• Jaren 90’ tot op heden – Er is vooral voortgebouwd op de goede ideeën uit de jaren 70’ en 80’ » ISO 27001 = BIG (best practice vanuit 80’) » US NIST SP 800-30 en 800-37, en FIPS 199 en 200 (vooral gebaseerd op 80’) – Echter weinig principiële verbeteringen
• Jaren 2000 en verder – De methodes geven nu onvoldoende inzicht in de risico’s voor de moderne informatiewereld – De informatie van ‘nu’ is niet meer de informatie van ‘toen’
Doel: Ontwikkel een moderne en herhaalbare methode, voortbouwend op het goede werk uit het verleden
30
Het model voor IT Audit van prof.drs. H.C. Kocks RA
Systeemontwikkeling (SO) Requirements
• Specificeren, bouwen en testen van informatiesystemen • OTAP-straat
Gebruikersorganisatie (GO) • Administratieve Organisatie en Interne Controle (AO/IC)
Informatiesystemen Service Level Agreements
Dienstverlening Verwerking- en Transportorganisatie (VTO) • Productie-omgeving, datacenter • Datacommunicatie
De BIG uitrol
31
IT Services and their context Our society
User population (GO)
VALUE at RISK
Users and their processes
Human Info Financial Info Things Info
Development Process (SO) Supplier Management
Reqs
Systems, sensors, machines etc.
D-T-A-P
Service Development & Maintenance Arch
Functionality
Users and their processes
Web Applications
FD TD Build Test Accep
Applications
INFORMATION
Infrastructure (VTO) DMZ
Network Operating Centre
Internet of Things Internet Outer World
Network (WAN and LAN’s)
Functional & Technical Support
Connections Partners
IDS & IPS
Office Automation & Mobile AV
Data
Data centres Application Middleware Access Control
Storage Storage
Operating System Hardware
De BIG uitrol
32
Drie Informatiestromen Waarom onderscheid tussen drie stromen van informatie? • Voor iedere stroom zijn speciale maatregelen, geredeneerd vanuit het werkproces • (Groepen van maatregelen zijn ‘gereedschapskisten’: Men laat geen loodgieter met een waterpomptang komen als de video-intercom defect is) HUMAN INFORMATION • Gegenereerd door mensen en bedoeld om te worden begrepen door mensen • Alles uit GBA, BAG, B’dienst dossiers etc., bedoeld om de burger te helpen • Maatregelen: Autorisatiebeheer, isolatie, versleutelen etc. FINANCIAL INFORMATION • Financiële transacties, die men kan controleren met rekenformules • Maatregelen: Functiescheiding, dubbele accordering, AO/IC, boekhoudregels etc. THINGS INFORMATION • Verkeerslichten, elektronische publicatieborden, bruggen, sluizen, openbaar vervoer, nutsvoorzieningen, infrastructuur etc. • Maatregelen: Real-time beschermen tegen hackers en digitale dreigingen etc. De BIG uitrol
33
NCSC: Actoren en dreigingen Actors (NCSC)
Dreigingen
Our society
User population
Incidenten OWASP Fraude Misbruik Wijzigingen
Fouten
VALUE at RISK
Users and their processes
Human Info Financial Info Things Info
Development Process
Functionality
Supplier Management
D-T-A-P
Service Development & Maintenance Arch Reqs
Web Applications
FD TD Build Test Accep
Dreigingen DDoS Buitenwereld
Applications
INFORMATION
Infrastructure DMZ
Network Operating Centre
Users and their processes Systems, sensors, machines etc.
Internet of Things Internet Outer World
Wantrouwen Lekkage
Network (WAN and LAN’s)
Functional & Technical Support
Connections Partners
IDS & IPS
Office Automation & Mobile AV
Data
Data centres
Etc.
Application Middleware Access Control
Storage Storage
Operating System
Storingen
Hardware
Slordigheid Wraak De BIG uitrol
Actors (NCSC)
34
IB&P maatregelen STANDAARDEN • Vele standaarden voor IB&P • Deze bevatten vrijwel dezelfde maatregelen HET PROBLEEM • Welke IB&P maatregel is in welke situatie van belang? • Hoe herkent en erkent senior management dit belang? OPLOSSING • Redeneer vanuit de risico’s die herkenbaar zijn voor bestuurders • De Kubus is alleen een denkmodel voor het aanbrengen van structuur, van boven naar beneden Wij lichten nu eerst de denkwerelden toe De BIG uitrol
35
Analyse Fotofinish
De BIG uitrol
36
Verdraaide Organisaties en de Mythe van Beheersbaarheid
De Systeemwereld De Leefwereld
De Bedoeling
Bron: Wouter Hart 37
De Gewenste Denkrichting
De Systeemwereld De Leefwereld
De Bedoeling Strategische risico’s
Tactische en operationele risico’s
BIG
Denkrichting
Waarom werkt dit zo niet ? 38
1
De klassieke IT-Audit
De Systeemwereld De Leefwereld
De Bedoeling
Begrijpbare taal voor elkaar • Standaard werk voor de IT-auditor • Een expert spreekt met een expert
Audit 39
2
Een Nieuw Werkproces
De Systeemwereld De Leefwereld The Management System
De Bedoeling Denkrichting •The director •The manager •The user •The customer etc.
Risicoparagraaf
Hoe koppel je de boodschap terug aan de bestuurder binnen de context van de bedoeling? 40
3
De Huidige situatie Dit is de klassieke fout van de beveiliger en IT-auditor De Systeemwereld • De boodschap is niet in context van de Bedoeling • Het landt niet bij de echte wereld • Verkeerde risico’s en verkeerde De Leefwereld assen (vanuit Systeemwereld) The Management System
De Bedoeling Denkrichting •The director •The manager •The user •The customer etc.
41
4
De Gewenste Audit in 2020
De Systeemwereld De Leefwereld Randvoorwaardelijk
The Management System
De Bedoeling Denkrichting •The director •The manager •The user •The customer etc.
Dit is gewenst, maar dit lukt niet • De groene mensen kunnen niet op papier zetten welke nonfunc zij nodig hebben • De beveiliger kan dit niet zelf bedenken (begrijpt de bedoeling niet) 42 • Hiervoor is een middel nodig
5
Redeneren vanuit de Bedoeling
De Systeemwereld De Leefwereld
Randvoorwaardelijk Faciliterend
De Bedoeling Denkrichting
Dit is gewenst • De lijnen moeten kloppen! • Vanuit het denkpatroon van de bestuurder bepaalt men de risico’s en de aanpak voor de maatregelen • Voorstel VNG en KING: Chief Information Security Officer (CISO)
43
Stelling: Gemeentelijke Bedoeling
STELLING Het College van B&W redeneert vanuit de Bedoeling van de Gemeente, namelijk Openbare Orde en Veiligheid, en het zorgen voor de burgers, zoals gezondheid en sociale zekerheid. PRO • B&W willen rust en welzijn binnen de Gemeente MOGELIJKE RISICO’S VANUIT DE BEDOELING • Fraude en gesjoemel • Schending van wet- en regelgeving, zoals de privacy VERTALEN NAAR IB&P MAATREGELEN • Gegevensclassificatie, AO/IC, functiescheiding, autorisatiebeheer, veilige webportal, leveranciersmanagement etc. VRAAG • Is dit een logische analyse vanuit de Bedoeling? 44
Risicoanalyse voor de BIG
45
De BIRA
Business IB&P Impact Analyse (BIRA) • Ontwikkeld bij het UWV De BIR / BIG vereist • Scoping en decompositie • Identificatie van de ‘kroonjuwelen’ • Vaststellen van de classificatie voor CIA
• Top-down definiëren of controleren van de IB&P maatregelen • Vaststellen van het netto risico (namelijk nà het treffen van de IB&P maatregelen) • Eventueel extra maatregelen voorstellen N.B. Bottom-up werken leidt niet tot begrip bij de bestuurders
De BIG uitrol
46
Te Beschermen Belang
De Leefwereld
De Bedoeling
2. Classificatie van informatie en functionaliteit
1. Scope en decompositie (Te Beschermen Belang, Bruto risico)
De Systeemwereld
Output: Classificatie
47
De 27 gereedschapskisten met IB&P maatregelen
Toolbox ‘Human’, ‘Conf’ en ‘Dispose’:
A A
AU D
AU D
• IB&P maatregelen (bijv. ISO 27001, BIG) voor afdanken media en vernietigen van informatie, conform de classificatie
Toolbox ‘Financial’, ‘Integrity’ en ‘Acquire’: • IB&P maatregelen voor het verifiëren van de bron en authenticiteit van een transactie, conform de classificatie
AU D Dispose A
Access & Use (incl. Disseminate) Acquire
48
Risicoanalyse
Kwetsbaarheden Dreigingen
A 3de dimensie. Analyse van dreigingen, onder de conditie van de maatregelen (voor 27 cellen)
A
AU D
AU D
Netto risico voor informatie
AU D Dispose A
Access & Use (incl. Disseminate) Acquire 49
The Information Assurance Cube
2. Classificatie van informatie en functionaliteit
1. Scope en decompositie
Te Beschermen Belang = Bruto risico
3. Toolkits: 27 dozen met IB&P maatregelen, gebaseerd op het type informatie en CIA
Netto risico
50
Vertrouwelijkheid
CLASSIFICATIE VOOR VERTROUWELIJKHEID Alle informatie in de dossiers en systemen moet zijn geclassificeerd Klasse 0: Publieke informatie Klasse 1: Interne informatie Klasse 2 • Privacy gevoelig, men wil niet dat dit ongeautoriseerd wordt onthuld • Wbp Art. 16: Ras, religie, geaardheid etc. • Financiële transacties aan burgers (‘hoeft de buurvrouw niet te weten’) Klasse 3: • Wbp Art. 9.4: Medische informatie, bijv. van keuringsarts • Strafrechtelijke informatie • Bulkinformatie voor ‘profiling’ Regel: Naarmate informatie waardevoller is, hebben minder personen toegang (isolatie, autorisatiebeheer, versleutelen) De BIG uitrol
51
Borgen van Vertrouwelijkheid Hoogwaardige en accurate informatie in een veilige omgeving
Combineer en valideer informatie, verrijken, verhogen van de waarde
Veel laagwaardige informatie, soms niet accuraat, in een onveilige omgeving
Dept of Defence
Regels • Niet naar boven lezen • Niet naar beneden schrijven • Isolatie tussen niveaus Geen declassificatie van hoogwaardige informatie Verstrek alleen beperkte informatie die echt nodig is, zoals commando’s (met gezond verstand)
Bell–LaPadula model: Verrijken van militaire informatie (Dit is de basis voor dataclassificatie volgens ISO 27001, BIG, VIR-BI etc.)
52
Het Bell LaPadula Model en privacy wetgeving
A
AU D
Voorbeelden in de Wet politiegegevens (Wpg)
Acquire, bijv.:
A
AU D
A A
• Bronvermelding • Valideren informatie of vernietigen
Access and use, bijv.:
AU D AU D
• 5 niveaus van vertrouwelijkheid • Strikte regels voor eigenaarschap, toegang, isolatie, verspreiding etc. per niveau
Disposal, bijv.: • Na 5 jaar, de informatie wordt vergrendeld • 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd 53
Voorbeeld van een toolkit ‘H, C, D’
A
AU D
Disposal, bijv.: • Na 5 jaar, de informatie wordt vergrendeld • 5 jaar later, de informatie wordt op een gecontroleerde wijze vernietigd
BIG maatregelen, bijv.:
D
9.2.6 Veilig verwijderen van apparatuur 10.7 Behandeling van media (Geen maatregel voor tijdige vernietiging, die eis moet komen uit het werkproces)
54
Financiële integriteit De Gemeente heeft inkomsten en uitgaven Hoe voorkomt men fraude met transacties?
SCHEIDING VAN HANDELINGEN • De medewerker die een dossier of claim afhandelt, mag niet betrokken zijn bij de financiële transactie • De medewerker die transacties klaarzet, mag niet betrokken zijn bij het accorderen • De medewerker die accordeert, mag niet betrokken zijn bij het controleren of alle transacties goed en conform de regels zijn verlopen • Etc.
AUTORISATIEBEHEER • Een medewerker mag alleen toegang hebben tot de functionaliteit en informatie die nodig is voor het uitvoeren van de functie • Een leidinggevende accordeert de autorisaties en controleert die • Een medewerker mag niet de eigen autorisaties kunnen veranderen De BIG uitrol
55
De originele tekening van het Clark-Wilson Integrity model (1987) Samenvatting van System Integrity Rules USERS E3: Authenticatie van gebruiker C1: IVP valideert CDI
E2: Gebruiker is bevoegd voor TP C3: Scheiding van handelingen
C5: TP valideert UDI Controlled Transaction
CDI
IVP Integrity Verification Procedure
Uncontrolled Transaction
C2: TP zorgt voor veilige toestand
UDI
CDI
CDI
TP
CDI
LOG
Transaction Processor
LOG
Systeem in bepaalde toestand
E4: Wijzigen van autorisatielijst alleen door Security Officer
C4: TP schrijft log E1: CDIs alleen bewerken door bevoegde TP
Clark-Wilson Model: Borgen integriteit van financiële transacties
56
Het Clark-Wilson Model en Financiële Transacties
A
AU D
A
AU D
A
Clark-Wilson Integrity model
AU D
USERS E3
C1
E2 C3
C5 C2
A
D AU
CDI IVP
UDI
CDI
CDI TP
LOG System in some state
CDI
E4
LOG C4 E1
57
Structuur in risicomanagement DE KUBUS ALS MIDDEL • Information Assurance tracht structuur aan te brengen in het proces van risicomanagement • Top-down aanpak • En de bestuurders te betrekken in het kader van prioriteiten en budget Aanpak • Niet redeneren vanuit de Systeemwereld • De risico’s voor de Bedoeling centraal zetten, en daarvandaan redeneren naar maatregelen in de Leefwereld en Systeemwereld Belangrijke randvoorwaarde • De Systeemwereld heeft de eigen zaken op orde, conform de BIG • Dit is een minimale hygiënefactor
De BIG uitrol
58
Stelling: Gemeentelijke Bedoeling
STELLING Risicomanagement vanuit de Bedoeling is niet nodig, omdat de Systeemwereld alleen gebruik maakt van veilige servers en netwerkcomponenten met ‘Proven Technology’ PRO • IT-dreigingen gaat men tegen met technische maatregelen CONTRA • De Systeemwereld moet sowieso zorgen voor een veilige infrastructuur • Bedreigingen voor ongeautoriseerde onthulling en financiële fraude lost men niet op in de infrastructuur, maar in procedures en applicatieve maatregelen, gedreven vanuit de werkprocessen AFWEGING • Als men een Chief Information Security Officer (CISO) overweegt, zit die dan bij de ‘business’ in de leefwereld of bij de IT-ers in de Systeemwereld? De BIG uitrol
59