Insert picture 4.77” x 10.83”
Juridische aspecten van beveiliging in de cloud Serge Gijrath, Stibbe TMT Groep PON 22 september 2011
9/26/2011 5:28:27 PM
Agenda • Toenemende publiciteit bij veiligheidsinbreuken • Overzicht cloud modellen en beveiligingniveaus • Specifieke problematiek beveiliging in de cloud • Regulering
• Inflatie contractuele verplichtingen • Zorgplicht • Juridische betekenis technische normen • Hoe beveiliging contractueel in te bedden
1
Recente veiligheidsinbreuken (publiek)
2
Recente veiligheidsinbreuken (privaat)
3
Overzicht cloud modellen en beveiligingsniveaus Verschillen in modellen o.a. bepaald door: (i) Soorten cloud diensten (SaaS, PaaS, IaaS) (ii) Wijze van inzetten (Privaat, Publiek, Hybride, Gemeenschap) (iii) Locatie (interne of externe hosting)
4
Verschillende niveaus waarop bij cloud computing (risico)allocatie van ICT beveiliging kan plaatsvinden
5
Beveiligingsniveaus ICT infrastructuur Netwerkbeveiliging niet alleen aan de buitenkant:
•
Systeembeveiliging: toegang tot, wijze van gebruik persoonsgegevens; gebruik passwords; firewalls;
•
Informatiebeveiliging: versleuteling van gegevens die over openbare communicatienetwerken worden verzonden; maar ook: beveiligde gegevensopslag
•
Netwerkbeveiliging: beveiliging van externe infrastructuur;
•
Beveiliging tegen externe invloeden: virusbescherming, certificaten, authenticatie van gebruikers.
6
Toenemende ICT beveiligingsrisico‟s •
Nieuwe bedrijfsmodellen (distributie van content, mobiele marktplaatsen, e-health)
•
Locatie-onafhankelijke toegang tot computernetwerken die snel en naadloos worden benut en ingezet op basis van vraag
•
Virtuele diensten (infrastructuur), die vaak worden aangestuurd met gedeelde middelen
•
Toenemende afhankelijkheid van digitale datasets zoals beveiligingscertificaten (identiteit, authenticiteit)
•
Wereldwijde datastromen, zonder dat verantwoordelijk weet waarheen
7
Wereldwijde datastromen Voorbeeld
J-M. Van Gyseghem, “Cloud computing et protection des donées à caractère personnel: mise en ménage possible?”, Revue du Droit des Techologies de l‟information, (42/) 2011 8
+ Bestaande ICT beveiligingsrisico‟s acuter • Verlies van integriteit of beschikbaarheid van data (beschadiging of verwijdering > meestal interne bedrijfssystemen)
• Verlies van vertrouwelijkheid (beveiligingsinbreuken, onderscheppen van gegevens > botnets) • Ongeautoriseerde openbaarmaking van vertrouwelijke data (WikiLeaks) • Ongewenste opslag (dan wel verwijdering) van gegevens door een cloud leverancier bij het einde van de overeenkomst
9
Gevolgen toenemende risico‟s voor bedrijven •
Regulering
•
Inflatie van contractuele verplichtingen
•
De reikwijdte van juridische beginselen (bijv. zorgplicht; informatieplicht) moet opnieuw worden bezien
•
Technische normen en standaarden: dwingend voorschrijven?
•
De groeiende impact van veiligheidsincidenten leidt tot hogere verwachtingen inzake beveiligingsmaatregelen
10
Regulering Voorstel aanpassing Telecommunicatiewet: de aanbieder van elektronische communicatienetwerken is verplicht: •
Alle bewaarde en doorgestuurde persoonsgegevens te waarborgen tegen ongewenste opslag, verwerking, toegang, verschaffing, aanpassing, verlies of vernietiging
•
Beveiligingsrichtlijnen in te voeren met betrekking tot de verwerking van persoonsgegevens
•
State of the art beveiligingsmaatregelen te treffen
•
De autoriteiten te informeren bij: - beveiligingsinbreuken, en - verlies van gegevensintegriteit die de continuïteit in gevaar kan brengen
•
Wet Bescherming Persoonsgegevens (en EU Richtlijnen): op dit punt (nog) niet aangescherpt. 11
Regulering Methode van beveiliging, art. 3:15a BW: wettelijk vermoeden aan de hand van cumulatieve criteria •
Authenticatie: de partij die een wilsuiting doet, kan worden geïdentificeerd
•
Integriteit van de boodschap (de overeenkomst) gewaarborgd;
•
Komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;
•
Op zodanige wijze aan bestand waarop het betrekking heeft gekoppeld dat wijziging van gegevens achteraf kan worden opgespoord;
EN (indien geavanceerde handtekening = DigiNotar):
•
Gebaseerd op een gekwalificeerd certificaat (art. 1.1gg Tw); en
•
Gegenereerd door een veilig middel voor het maken van elektronische handtekening. 12
Regulering Art. 2 Besluit Elektronische Handtekeningen (2003): eisen aan de certificatiedienstverlener
• • • • • • • •
Betrouwbare middelen / betrouwbare procedures; Procedures en processen i.o.m. laatste ontwikkelingen kwaliteitssystemen; Betrouwbare systemen en producten procedureel of overeenkomstig de stand der techniek die technische/cryptografische veiligheid garanderen; Adequate maatregelen tegen het vervalsen van de gekwalificeerde certificaten/uitgeven van illegale gekwalificeerde certificaten en garantie vertrouwelijkheid; Voldoende financiële middelen om aan wettelijke verplichtingen te voldoen; Deskundig personeel (beheer, technologie en beveiligingsprocedures); Verificatie identiteit en eventuele specifieke attributen van de persoon die als ondertekenaar in dat certificaat wordt aangeduid; Vaststelling datum/tijdstip van afgifte of intrekking gekwalificeerd certificaat vast met een nauwkeurigheid van één minuut of korter;
13
Regulering Art. 2 Besluit Elektronische Handtekeningen (2003): eisen aan de certificatiedienstverlener (vervolg)
•
• • • • • • • • •
Tijdens de geldigheidsduur van het gekwalificeerde certificaat en gedurende een periode van ten minste zeven jaar na einde opslag alle relevante specifieke eisen aan opslag certificaten; Op verzoek: veilige/prompte intrekking gekwalificeerde certificaten; Publicatie actuele en betrouwbare informatie status afgegeven gekwalificeerde certificaten; Geen opslag/kopie gegevens aanmaken van elektronische handtekeningen; Klachtenafhandeling- en geschillenbeslechtingprocedures; Vernietiging bij beëindiging van de dienstverlening; Voorzieningen veilige overdracht bij beëindiging van de dienstverlening; Voorzieningen voor de voortzetting van de publicatie; Informatieplicht gebruiksvoorwaarden gekwalificeerde certificaat etc.; Bestuurders/verantwoordelijke medewerkers niet binnen laatste 4 jaar wegens misdrijf onherroepelijk veroordeeld tot onvoorwaardelijke vrijheidsstraf. 14
Bescherming persoonsgegevens in de cloud Rollen: CSP en Gebruiker
•
In de context van cloud computing zijn de rollen niet meteen duidelijk: •
Controller: “De natuurlijke persoon, rechtspersoon, of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt” (art. 1 onder d. Wbp; art. 2 (d) Privacy Richtlijn) > Gebruiker?
•
Bewerker: “degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen” (art. 1 onder e. Wbp; art. 2 (e) Privacy Richtlijn) > Cloud Service Provider (CSP)?
MAAR: • De gebruiker kan geen werkelijke controle uitoefenen op de verwerking van de gegevens ook al blijft zij verantwoordelijke in de zin van de wet • Kan de CSP gedeeltelijk het doel van de en de middelen voor de verwerking vaststellen? 15
Bescherming persoonsgegevens in de cloud Rollen: CSP en Gebruiker – volgens de Article 29 Working Party
WP 29 Opinie 16 februari 2010 (WP169) over “verantwoordelijke” en “bewerker” in de cloud: • • • • •
Rollen dienen per geval worden vastgesteld; Verantwoordelijkheden vaststellen aan de hand van feitenanalyse (contract, wie oefent controle uit, zichtbaarheid); Is het de CSP toegestaan beslissingen te nemen over de doeleinden van de verwerking? (vgl. SWIFT uitspraak); Er kan sprake zijn van gedeelde verantwoordelijkheid; Rol van onderaannemers als bewerkers niet uit het oog verliezen.
16
Bescherming persoonsgegevens in de cloud Territoriale reikwijdte van de Privacy Richtlijn Nationale privacywetgeving van de Lidstaat van toepassing in geval: •
Verwerking wordt verricht “in het kader van activiteiten van een vestiging van de verantwoordelijke” in die Lidstaat (art. 4(1) a Privacy Richtlijn)
bijv. Nederlands recht van toepassing op het verwerken van personeelsbestanden door een Nederlandse dochteronderneming in een concern met hoofdkwartier in Londen (en het maakt dan niet uit waar de verwerking plaatsvindt). •
De verantwoordelijke heeft geen plaats van vestiging in een Lidstaat, maar maakt voor de verwerking van persoonsgegevens gebruik van middelen (Engelse tekst: „equipment‟) die in een bepaalde Lidstaat staat (art. 4(1) c Privacy Richtlijn) N.B. brede interpretatie in Nederland gezien de term „middelen‟; kunnen cookies tot jurisdictie leiden? 17
Bescherming persoonsgegevens in de cloud Verdere complicaties en uitdagingen
Standaardvereisten van de privacywetgeving gelden ook in de cloud: •
• • • • •
Grondslag voor rechtmatige gegevensverwerking (art. 8 Wbp) • Noodzakelijk voor verwezenlijking gerechtvaardigde doeleinden? • Gaat boven het privacy belang? N.B. e-Discovery, Patriot Act Rechten van betrokkenen Speciale / sensitieve persoonsgegevens Informatieverplichtingen Meldingplicht bij college bescherming persoonsgegevens Bepalingen ten aanzien van de duur van de opslag
18
De toekomst Privacy Richtlijn en de Digitale Agenda O.a.: • • • • •
Impact van nieuwe technologie adresseren in regelgeving Stimuleren universele technische standaards en gebruik ICT-normen in EU Herziening Richtlijn e-handtekeningen Versterken van de interne markt dimensie voor bescherming persoonsgegevens • Harmonisatie (bijv. Bij meldingen) • Herziening en verduidelijking toepasselijk recht Versterken verplichtingen van de verantwoordelijke • Stimuleren “privacy by design” • Zelfregulering: o.a. BCR • EU certificering
19 19
Inflatie contractuele verplichtingen CSP wordt gevraagd om contractuele garanties te verstrekken dat: •
Alle gehoste infrastructuur, software en data vrij zijn van virussen of andere invloeden van buiten af te allen tijde adequaat zijn en blijven beveiligd door middel van actuele beschermingsprocedures, adequate beveiligingssoftware
•
Alle diensten voldoen en zullen blijven voldoen aan de beveiligingsrichtlijnen die de gebruiker van tijd tot tijd aan de leverancier bekendmaakt MAAR
•
De gebruiker blijft de verantwoordelijke (en dus in ieder geval juridisch aansprakelijk ten aanzien van het ten uitvoer leggen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, art. 13 Wbp)
20
Zorgplicht van de leverancier •
Overeenkomst van opdracht > RBC/Brinkers, HR 11 april 1986: open norm “de mate van zorgvuldigheid en deskundigheid die van een redelijk handelend en bekwaam automatiseringsdeskundige geëist mag worden.”
•
Leverancier moet deugdelijk onderzoek instellen.
•
Met andere woorden: er vind altijd toetsing achteraf plaats aan de hand van de norm.
•
En er geldt een informatieplicht.
21
Juridisch betekenis van technische normen •
Er zijn talloze niet bindende normen en standaards: CSA, ISO, BSI, PCI-DSS, ENISA…
•
Bij gebreke van specifieke regelgeving, implementeren cloud dienstverleners naar eigen goeddunken bepaalde normen en standaards. Van standaardisatie van ICT beveiliging is geen sprake.
•
DNB over IT beveiliging: Open Boek – Nieuw raamwerk voor beoordeling van ICT beveiliging gebaseerd op CobIT (Control Objectives for Information and related Technology- (2010)): „Increasing the level of protection of information in the financial sector is urgent‟.
22
Toenemende risico‟s en impact van beveiligingslekken leidt tot toename van verwachtingen bij de gebruikers:
•
Realisatie van eenduidige beschermingniveaus van persoonsgegevens op EU niveau (liefst wereldwijd) … > Haalbaar zonder meer gedetailleerde regelgeving?
•
Beveiliging op alle infrastructuurniveaus… > Haalbaar zonder een consequentie classificatie van data risico‟s?
•
Behoud volledige controle over dataverkeerstromen + contractuele garanties… > Haalbaar zonder een werkbaar IT besturingsmodel?
23
Hoe beveiliging in contractbesturing in te bedden Algemeen •
Documenteer de standaards en instrumenten om de werking en effectiviteit van de beveiligingsmaatregelen te meten
•
Houd rekening met de omstandigheid dat de gebruiker geen fysieke controle kan uitoefenen
•
Kritische gegevenstromen: identificeer deze, voer een impactanalyse uit en stel een risicobeheersplan op
•
Gebruiker moet vooraf bekijken hoe risicoanalyses uit te voeren bij de CSP, alsmede welke vormen van schadevergoeding en/of boetes wenselijk zijn
•
Kostenbesparingen deels herinvesteren in nieuwe beveiligingstechnologie en het uitvoeren van controles en audits
24
Hoe beveiliging in contractbesturing in te bedden Contract
•
Samenwerking, rollen & en verantwoordelijkheden bij beveiliging nauwkeurig afbakenen aan de hand van de dienst (SAAS-PAAS-IAAS) en toepassing (privaat, gemeenschap, publiek, hybride)
•
In geval van levering op afroep en multi tenancy: bepalingen over (testen van) beveiliging tegen ongewenste indringers, toegang tot rapporten en controle
•
Maak veiligheidsnormen onderdeel van de SLA
•
Beoordelen incident management, continuïteit, gegevens herstel, collocatie, uitwijk en back-up procedures van de onderaannemer
•
Beoordelen of de interne audits van de onderaannemer aansluiten bij de procedures van de CSP en de gebruiker (niet alleen SAS-70)
25
Hoe beveiliging in contractbesturing in te bedden Transparantie over locatie van data CSP dient: •
Fysieke locatie van de servers die de gegevens verwerken, bekendmaken (weet niet = niet acceptabel)
•
De Gebruiker tijdig vooraf waarschuwen indien de locatie van de gegevens verwerking verandert
•
Medewerking verlenen aan de gebruiker om te voldoen aan de wettelijke eisen inzake data transfer
26
Hoe beveiliging in contractbesturing in te bedden Transparantie ten aanzien van de beveiliging CSP dient: •
Volledige en duidelijke informatie te verschaffen over en toegang tot alle documentatie betreffende de beveiligingsrichtlijnen en maatregelen
•
De gebruiker in staat stellen om periodieke controles uit te voeren
•
Specifieke informatie verschaffen over de integriteit, beschikbaarheid en geheimhouding van de in de cloud gehoste software en data
•
Gebruiker onmiddellijk informeren in geval van een lek of incident
•
Volledige medewerking verlenen in het kader van onderzoek, risicobeheersing en schadebeperking
•
Gebruiker toestaan forensisch onderzoek te doen verrichten 27
Hoe beveiliging in contractbesturing in te bedden Aansturen van onderaannemers
•
Due diligence naar (beveiligingsprocedures van) de onderaannemers en andere derden en de (wijze waarop zij toegang verkrijgen tot de gegevens
•
Verplicht de CSP contractuele verplichtingen door te schuiven
•
Bestuur en beperk onderaannemers in het gebruikmaken van onderonderaannemers
•
Beoordeel hoe de CSP de onderaannemers aanstuurt
•
Houd rekening met het uitvallen van de onderaannemer (faillissement!) en met problemen als gevolg van afhankelijkheden van derden
28
Voorbeelden van contractuele bepalingen Standaardbepalingen zijn vaak eenzijdig: “You bear sole responsibility for any and all data used in connection with the development, operation or maintenance of any software programs or services that you use in connection with your access to or use of the Services, including without limitation taking the steps necessary to back up such data, software programs or services.” “...All Content and other information you provide to us in connection with this Agreement will be considered non-confidential. You agree that we have no responsibility for Content, including if Content is modified or lost. You are solely responsible for determining the appropriate procedures and controls regarding encryption and backup of all Content and for the implementation of those procedures and controls.”
29
Tot slot… •
Niet alle gegevensstromen behoeven zelfde mate van beveiliging > data classificatie als middel voor risicobeheersing
•
Behandeling van databeveiliging zal radicaal veranderen als gevolg van afgebroken afbakening van ICT infrastructuur > ICT beveiliging besturing en governance is van levensbelang
•
ICT beveiliging dient op de geschikte infrastructuurniveaus te worden geadresseerd > kosten hiervan niet uit het oog verliezen
•
Voor niveau ICT beveiliging bestaat er geen onderscheid tussen de private/publieke cloud > wel rekening houden met de soort dienstverlening (SAAS-PAASIAAS) .
30
Vragen? Serge Gijrath Tel: +31 20 546 02 12 Fax: +31 20 546 08 11
[email protected]
31
