1
Titel van de presentatie
Classificatie
Nederlands Normalisatie Instituut eHerkenning 24 september 2013 Delft
Haydar Cimen Director Security Services Strategy & Innovation
2
KPN Trusted Services
3
Security strategisch top-5 thema binnen KPN KPN CEO is co/voorzitter van Cyber Security Raad KPN is onderdeel van de Nederlandse vitale infrastructuur
€ 1 Miljard investering in netwerk en veiligheid (KPN Schoon, Blijvend Schoon) KPN CERT werkt nauw samen met publieke en private CERT teams Gezamenlijke oprichting ENCS voor cyber security voor internetveiligheid voor vitale infrastructuren, zoals energie, water en telecom Actieve rol in stimulering van onderzoek, testen, kennisdelen en training ism Alliander, DNV KEMA, TNO en de Radboud Universiteit Deelname aan privacybelangen- en brancheorganisaties, zoals de privacycommissie van het Nederlandse ondernemersverbond VNO-NCW en NL ICT Investeringen in internationale Cybersecurity Innovatie programma’s zoals SBIR/NWO research en development KPN is lid van strategische stelselraad eID
4
KPN Trusted Services Identity, Security, Business Continuity
5
Identiteiten en Persona’s
6
Publieke Identiteitsdiensten Overheid - Bedrijfsleven
7
KPN Trusted Services als IDSP en eHerkenning stelsel • KPN is als pionier gestart in 1996 als TTP met identiteit- en vertrouwens-diensten • Identiteits diensten b.v. voor Gezondheidszorg, Justitie, Defensie, Transport, .. • Ca 2M. Identiteiten in beheer (STORK L1 t/m L4) • KPN als eerste ETSI gecertificeerde trustcenter in Europa voor digitale identiteiten en elektronische handtekening diensten • KPN participeert actief en contribueert aan ontwikkeling en groei van eHerkenning sinds de eerste start in 2009 • KPN heeft momenteel 3 jaar operationele ervaring met specifieke eHerkennings diensten
8
Wat is eHerkenning?
Afsprakenstelsel Func./Tech. Operationeel Juridisch
Dienstverleners
Marktpartijen
Portalen Websites Systemen
Bedrijven Consumenten Professionals
Beheerorganisatie Logius
9
Afnemers
eHerkenning Stelsel
Het eHerkenning Stelsel is ontworpen om op een veilige manier electronisch handelen mogelijk te maken en zorgt primair voor Authenticatie en Autorisatie van gebruikers. Daardoor zijn er diverse technische zaken in het stelsel aanwezig zoals: • Eissen t.a.v. Vertrouwelijkheid, Integriteit en Beschikbaarheid • Pseudonimisering van gebruikers Ook over de proces as wordt e.e.a. geborgd, zoals: • Operationele afspraken • Periodiek security officers overleg • Audit bij toetreding • Periodieke Audits waaronder ISO27001 • Periodieke Pentests • Erkende gecertificeerde aanbieder
10
Welke rollen zijn er binnen eHerkenning?
Authenticatie Dienst Dienstverleners Makelaar
Middelen Uitgever
Machtigingen Register
11
Gebruikers
KPN biedt gehele keten in het stelsel Gebruikers
Dienstverleners
CIBG Kiwa Register B.V. Dienst Justis Ministerie van Veiligheid en Justitie CJIB Etc..
Authenticatie Dienst
Makelaar
Machtigingen Register
12
Middelen Uitgever
Organisaties Middelen Machtigingen
KPN eHerkenning diensten • Alle rollen, alle betrouwbaarheids niveau’s: • Herkenningsmakelaar (HM) • Middelenuitgever (MU) • Authenticatiedienst (AD)
• Machtigingenregister (MR) • Dienstverlening conform SLA eHerkenning, plus: • Beschikbaarheid 7x24, 99,9% per maand • Volautomatische uitwijk/disaster-recovery • ISO 9001/27001 gecertificeerde omgeving/organisatie • Maandelijkse rapportage beschikbaarheid/prestaties
13
eHerkenning stelselafspraken (1) Het eHerkenning stelsel is dé standaard om veilig elektronisch handelen mogelijk met overheid en bedrijfsleven en voorziet primair in authenticatie en autorisatie van gebruikers. Deelnemers en de beheerorganisatie moeten afdoende beveiligingsmaatregelen treffen om een betrouwbare werking te garanderen. Vertrouwen in eHerkenning is gebaseerd op: Organisatorisch en administratief door contracten en formele toetsing zoals certificatie en Third Party Mededelingen Gebruikerservaringen van de ongestoorde en veilige werking van de technische infrastructuur Implementatie en ontwikkeling van stelselafspraken: • Professionele normen voor informatiebeveiliging: Gemeenschappelijk Normenkader Informatiebeveiliging eHerkenning en ISO 27002 • Deelnemers voldoen aantoonbaar aan ISO27001 en eHerkenning afspraken • Toezicht vanuit overheid dmv reguliere securityaudits en 3rd partij pentesten/evaluatie 14
eHerkenning stelselafspraken (2)
eHerkenning definieert vier betrouwbaarheidsniveaus voor authenticatiemiddelen (STORK) en machtigingen (met bijbehorende normen), om proportionele toepassing bij verschillende niveaus van informatieclassificatie te faciliteren Voorbeelden van eisen vanuit het stelsel aan technische voorzieningen: Eisen t.a.v. vertrouwelijkheid, integriteit en beschikbaarheid Pseudonimisering borgt privacy van gebruikers in gegevensuitwisseling Continuiteit van het eHerkenning is geborgd door de opzet. Mocht zich onverhoopt een calamiteit met een van de aanbieders voordoen, dan kan: een dienstverlener SNEL (<1 dag) overstappen naar een andere aanbieder gebruikers hun eherkenningsmiddel bij een andere aanbieder betrekken
15
eHerkenning: beveiliging en vertrouwen
De veiligheid en privacy van gegevens in het KPN eHerkenning machtigingenregister is geborgd op meerdere niveau’s: 1.eHerkenning stelselafspraken Alle deelnemers aan eHerkenning voldoen aan de stelselafspraken eHerkenning, waarin veiligheid een prominente rol inneemt (ISO27001) 2.KPN Securitybeleid KPN producten en diensten voldoen aan het stringente informatiebeveiligingsbeleid van KPN (additonele beveiligingsmaatregelen) 3.Machtigingenportaal en eHerkenning machtigingenregister Gegevens die via Machtigingenportaal zijn opgeslagen in het eHerkenning machtigingenregister, zijn uitsluitend toegankelijk voor geautoriseerde gebruikers
16
KPN security beleid omtrent veiligheid in processen en systemen Alle producten en diensten binnen KPN moeten voldoen aan eisen in KPN Common Security Policy Framework
KPN is gecertificeerd tegen ISO 27001/27002 Webservices worden gemonitored door KPN Portal authority mbv pentests, codereviews, vulnerability scans, etc. Binnen KPN Trusted Services is aanvullend de Trusted Employee Policy van toepassing voor (periodieke) screening van personeel door MIVD/AIVD KPN systemen worden aangesloten op het nieuwe KPN Security Operating Center (opgericht ism TNO en Fox-IT) Security architectuur is gebaseerd op ‘Defense In depth’ aanpak KPN kent CIO, CIO Office, CISO, KPN Audits dienst, security officers, privacy officers en een Security helpdesk KPN Service Line IT past Integrated Control Famework toe omtrent processen en network segementering, voorzien van een TPM 17
Eherkenning Roadmap en KPN Innovaties
eHerkenning Stelsel v 1.5 – 1.8 (generiek voor alle marktpartijen) Attribuutverstrekking Ketenmachtigingen Elektronische Handtekening Operationele optimalisatie KPN specifieke ontwikkelingen eHerkenning 2013+ eID Stelsel integratie in eHerkenning Multi-Middelen (ook middelen externe domeinen) PISA (Personal Information Security Agent) KPN Trusttester (Attribuutverificatie Diensten) KPN Personal Trust Agent & Personal Trust Center (Human centric Security) KPN Wireless mobile PKI (Identity, Security, Crypto eSignature) 18
Tips:
eHerkenning: Stelsel is 3 jaar operationeel en robuust, overweeg EH Stelsel voor portaaltoepassingen en gebruikersauthenticatie Voldoende aanbod in de markt van EH dienstverleners Aansluiten is eenvoudig en snel te realiseren EH biedt toekomst-vaste en solide basis voor elektronische processen Algemeen: Information Security vs effectiviteit Borg security op hoogst mogelijk niveau om bewustwording te stimuleren Spreek dezelfde taal: SABSA als architectuur methode; business attribuut taxonomie Cybersecurity effectiviteit UK : criteria en methode PAS-555
19
Bedankt voor uw aandacht
Haydar Cimen Director Security Services Strategy & Innovation
[email protected] +31629526531 20
Backupslides
21
Roadmap eHerkenning @ KPN 2013/2014 Attr 1.7 ? Keten machtigingen 1.7 SSO 1.7
AS1.9 AS1.8
AS1.7
AS1.7 RP
AS1.5
25/4/13 22
AS1.8
RP
User Interface
1/10/13
1/2/14
Project “Implementation 1.7” Deadlines
Transfer to Operations HM Development & Simulator Testing & Deploy to ACC 17d
HM Chain Testing 19d
16/9/13
14/10/13
AD/MR (+RP) Development & Simulator Testing & Deploy to ACC 24d
19/8/13 23
HM Deploy to PRD 14d
Managed
Go Live 5d
1/11/13
AD/MR Chain Testing 24d
12/11/13
HM Deploy to PRD 14d
Go Live 8d
16/12/13 18/10/13
18/11/13
6/12/13
Security bekeken langs 3 assen
eHerkenning Stelsel • Intrinsieke veiligheid vanuit het eHerkenning Stelsel
KPN Security • Hoe gaat KPN om met informatiebeveiliging en welke maatregelen
User Portaal • User interface voor middelen/ machtigingen eind-gebruikers
24
KPN Security - Generiek
KPN Trusted Services is het onderdeel binnen KPN dat de eHerkenning dienstverlening levert. Trusted Services richt zich primair op security dienstverlening >200 security professional. Kwaliteit management systeem • Interne / Externe audits • Information Security Organisation Generieke voorzieningen / KPN Security Policy framework: • Layered security architectuur • Server Hardening Diverse zaken vanuit stelsel zoals: • Periodieke screening van beheerders • Sterke authenticatie voor beheerders
25
KPN Security – Specifiek
Omdat KPN zich bewust is van een goed functionerend eHerkenning stelsel gaan we nog een stapje verder…. • Vertegenwoordiging op Strategisch, Tactisch en Operationeel niveau in het eHerkenning stelsel • Bescherming tegen calamiteiten via Dual-Datacenter concept
• 7x24 Security Operations Center proactieve monitoring • Periodieke Penetratie Tests • Continue Vulnerability testing • Externe code reviews
26
Herkennings Makelaar implementatieproces •
Doorlooptijd: een tot twee weken • Vergt goede voorbereiding en paraatheid mensen en middelen • Effectieve en snelle implementatie door eenduidig afsprakenstelsel
•
Acties: • Afstemmen datamodel (afhankelijk van koppelvlak) • Firewall instellingen (afhankelijk van koppelvlak) • Sleutelgeneratie/aanvragen vereiste certificaten • Delen/importeren vereiste certificaten • Intake formulier • Middelen uitgifte
• Live!
27
KPN eHerkenning Koppelvlak Overheidsdienstverlener en HM • Standaard: Conform Afsprakenstelsel eHerkenning • Implementatie nieuwe techniek • Ondersteunde koppelingen: • Koppelvlakspecificatie DV-HM • Alternatief: KPN Adapter voor eHerkenning • Hergebruik bestaande techniek • Ondersteunde koppelingen: • Proxy Mode • Microsoft ADFS • A-Select API/Filter • DigiD, DigiD voor Bedrijven API • SAML 2.0
28
eHerkenning Services • Servicedesk • 2e lijns servicedesk aansluitend op iedere 1e lijns servicedesk • Per e-mail en telefonisch bereikbaar • Ingericht volgens ITIL + Security Management • 7x24 voor major incidenten • 5x8 voor medium/minor incidenten • Standaard reactietijden per type incident (major, medium, minor) • Uitvraagscript t.b.v. optimalisatie communicatie incidenten en/of verzoeken • Autorisatielijst t.b.v. optimalisatie beveiliging incidenten en/of verzoeken • Maandelijkse rapportage incidenten en/of verzoeken
• Aansluiten van nieuwe diensten • Geen onderscheid eerste dienst / nieuwe dienst • Zelfde processen, procedures, tarieven • Iedere dienst dient apart te worden geïdentificeerd, geclassificeerd en geregistreerd in de dienstencatalogus
29
Machtigingenportaal en machtigingenregister
In aanvulling op de eHerkenning stelselafspraken en het KPN security beleid geldt specifiek voor het Machtigingenportaal en eHerkenning machtigingenregister: • De wettelijk vertegenwoordiger stelt een machtigingbeheerder aan • Een machtigingbeheerder kan uitsluitend de machtigingen beheren van de
organisatie waarvoor hij geautoriseerd is • Inloggen op het Machtingenportaal vereist een eHerkenning middel
30
Waarom KPN als eHerkenning partner ?
Kennis en knowhow gecombineerd: Identity, Security, Continuity Duurzame partner: 20+ jaar IDentity Service Provider Betrouwbare Identity Services (ca. 2M+ identities) Veilige en schaalbare eHerkenning Infrastructuur en security management 50+ implementatie consultants ogv Identity Management
Actieve participatie in PKIOverheid, eHerkenning en eID Open standaarden Competitief en Innovatief Sterk partner eco-systeem
31
