de ICCIO
DGOBR DIR Contactpersoon Helga van Lobenstein T 06-15896774
Datum 9 oktober 2012 Kenmerk 2012-0000579348
Rijksbrede beleidskaders voor ondersteuning apparaatonafhankelijk werken (BYOD), v0.96
Afschrift aan
Inleiding Smartphones en tablets winnen binnen de Rijksoverheid in hoog tempo terrein. Medewerkers maken in toenemende mate gebruik van eigen (mobiele) apparaten. Het gaat daarbij voornamelijk om algemene kantoortoepassingen, zoals e-mail, agenda, toegang tot documenten en Rijksportaal. Deze notitie geeft invulling aan maatregel 08 van de I-strategie Rijk “Ondersteuning apparaatonafhankelijk werken (BYOD)”. Daarnaast is er een relatie met de TPAW notitie van juli 20121 omdat de kaders bijdragen aan de gezamenlijk geformuleerde doelen. De kaders geven richting aan de (al lopende) ontwikkelingen binnen de departementen. In Q1-2013 worden de kaders geëvalueerd met de pilotdepartementen. Daarnaast wordt gewerkt aan acties die departementen verder moeten helpen met de invoering van BYOD. Probleemstelling Rijksbreed wordt aan de volgende doelen gewerkt: • Functionaliteiten en gegevens worden eenvoudig en gebruikersvriendelijk bereikbaar gemaakt volgens het principe van “any time, any place any device”. Tijd-, Plaats-, en Apparaatonafhankelijk werken (TPAW). •
Departementen willen weten binnen welke kaders TPAW kan en mag worden ingevoerd.
•
Rijksinfrastructuren worden geconsolideerd en de aanwezige gegevens worden geconcentreerd in een bepaald aantal datacenters.
•
Rijksinformatievoorziening wordt verder geschikt gemaakt voor verwerking en opslag van personeelsgegevens (WBP2) en Dep.Vertrouwelijk gerubriceerde gegevens conform de norm van de BIR.
1 Zie hiervoor de notitie Rijksbrede ambities rondom Tijd- Plaats- en Apparaatonafhankelijk Werken (TPAW) (juli 2012) geschreven vanuit een samenwerkingsverband tussen de IC’s
Pagina 1 van 6
6
Deze vier doelen zijn niet zomaar verenigbaar. Er is spanning aanwezig tussen gebruikersvriendelijke, ruime toegang en het beveiligingsniveau. Daarbij heeft de geconcentreerde infrastructuur extra beveiliging nodig omdat zij een extra aantrekkelijk doelwit vormt.
Datum 9 oktober 2012 Kenmerk 2012-0000579348
De situatie wordt gecompliceerd door de decentrale pilotprojecten die bij vele departementen lopen. Hier wordt geëxperimenteerd met een breed scala aan architecturen, platformen en beveiligingsoplossingen. Ook wordt geëxperimenteerd met beveiligingsbeleid, risicoanalyse en visies op risicoacceptatie. Deze decentrale situatie stelt de overheid voor meerdere decentrale “voldongen feiten”. Dit maakt overkoepelende beveiligingsafspraken en infrastructuurkeuzes lastig maar extra noodzakelijk. Doel De ontwikkeling van TPAW heeft geleid tot een grote behoefte vanuit de departementen aan rijksbrede kaders. Deze notitie geeft op het gebied van ICT invulling aan deze behoefte. Daarnaast geeft deze notitie de kaders mee hoe TPAW binnen de Rijksoverheid kan worden toegepast zodat zij aantoonbaar en controleerbaar “in control” is van de eigen gegevens. Voorgestelde beleidskaders Maak onderscheid tussen apparatuur “buiten beheer”, “met enig beheer” en “met extra beheer” van de overheid. “Buiten beheer” (unmanaged) is alle apparatuur waarop de gebruiker mogelijkheden en/of rechten heeft om beveiligingsrelevante delen van de configuratie aan te passen. Dit zijn dus alle smartphones, tablets, laptops en thuiswerkplekken die niet onder beheer van de overheid staan (bijvoorbeeld: alle tablets waarop de gebruiker willekeurige apps kan installeren maar ook alle thuiswerkplekken waarop de gebruiker de “administrator” rechten heeft). Op deze apparatuur is de overheid niet “in control” en zij moeten dus als “niet vertrouwd” worden beschouwd. Bij eventuele incidenten zal de vraag gesteld worden: “Hoe kon de overheid toegang toestaan op dit soort apparatuur?” Hier is een afdoende antwoord op nodig. “Met enig beheer” (managed) is alle apparatuur waarvan de gebruiker de beveiligingsrelevante delen – tenminste die voor zakelijk gebruik - *niet* mag aanpassen en niet kan aanpassen zonder beveiliging bewust te breken of te omzeilen. Hierop is de overheid *wel* in control en de apparaten kunnen als vertrouwd worden beschouwd. Incidenten kunnen nog steeds voorkomen maar bij eventuele incidenten kan de overheid aantonen dat: • zij zich heeft gehouden aan de gangbare “best practices” voor beveiliging van dergelijke infrastructuren, •
zij een verdedigbare afweging heeft gemaakt tussen de kosten van beveiliging en de kosten van incidenten (commercial reasonability, due dilligence, goed huisvaderschap).
“Met extra beheer” (managed) is alle apparatuur waarvan zelfs een kwaadwillende aanvaller de beveiliging niet kan omzeilen en de beveiligingsrelevante delen *niet* kan aanpassen. Hierop is de overheid *wel* in control en zij kunnen als “aanvalsbestendig” worden beschouwd. De kans op incidenten is aantoonbaar geminimaliseerd (binnen kaders van “economic reasonability”). Pagina 2 van 6
6
Welke apparatuur mag als “managed” worden beschouwd Apparatuur mag als “managed” worden beschouwd als de overheid “in control” is van de toegangsmogelijkheden en de beveiliging van de overheidsgegevens. Selectie en
Faciliteiten
Faciliteiten
Faciliteiten
Faciliteiten
aanschaf
voor centraal
voor
voor
voor bewaking
beheer
beveiliging
beperking
van
apps
“gezondheid”
Datum 9 oktober 2012 Kenmerk 2012-0000579348
apparaat Apparaat geconfigureerd en beheerd door de overheid. Bij voorkeur
Mobile Device
ook
instellingen op
geselecteerd
afstand
en
kunnen
aangeschaft
worden
door de
ingesteld en
overheid
waar de
(CYOD).
gebruiker niets
Management functies waarmee beveiligings-
aan kan veranderen.
Betrouwbaar geïsoleerde container voor overheidsdata en apps. Versleuteling van opgeslagen data. Versleuteling van verzonden data. Betrouwbaar en tijdig wissen van data ook bij verlies en diefstal. 2 factor
White-listing
Detectie van
van apps die
apparatuur
binnen de
waarvan
container
beveiliging is
geïnstalleerd
doorbroken of
mogen worden
beschadigd
en waar de
(jaibreak,
gebruiker niets
ontbrekende
aan kan
updates, niet
veranderen.
up-to-date virusscanner etc.).
authenticatie voor toegang tot overheidsdossiers. Dit geldt ook voor “unmanaged” apparaten.
Pagina 3 van 6
6
Welke apparatuur mag als “extra managed” worden beschouwd Voor toegang tot gerubriceerde data zijn de volgende aanvullende maatregelen nodig, in aanvulling op de bovengenoemde maatregelen: Selectie en
Faciliteiten voor
Faciliteiten
Faciliteiten
Faciliteiten
aanschaf
centraal beheer
voor
voor beperking
voor detectie
beveiliging
apps
misbruik
Een white-list
De Mobile
van alleen de
Device
hoogst
Management
noodzakelijke
oplossing
apps.
moet
Apparaat
Mobile Device
waarvan de
Management
functionaliteit
oplossing
beperkt is tot
waarvan is
het
vastgesteld dat
hoogstnodige
de architectuur,
en waarbij de
ontwerp en
Een toetsbare “root of trust” als basis voor de beveiliging. Bij voorkeur
overheid in
implementatie
gebaseerd
configuratie integer is.
zekere mate
voldoende
op een
“in control” is
betrouwbaar en
overzich-
van de
veilig is.
telijke en
hardware,
toetsbare
operating
hardware
system en
component.
Datum 9 oktober 2012 Kenmerk 2012-0000579348
waarborgen dat
applicaties. Consequenties voor Ondersteuning apparaatonafhankelijk werken (BYOD) Door de medewerker zelf meegebrachte apparaten (BYOD devices “out of the box”), waarop de gebruiker mogelijkheden en/of rechten heeft om beveiligingsrelevante delen van de configuratie aan te passen, moeten als “buiten beheer” worden beschouwd. Ook BYOD devices met de standaard aanwezige voorzieningen voor telewerken (zoals bijvoorbeeld Exchange Active Sync die biedt) moeten als “buiten beheer” worden beschouwd. Het is voor de overheid niet verdedigbaar om via een dergelijk apparaat ruimhartige toegang te geven tot documenten, gegevens en applicaties met mogelijk vertrouwelijke gegevens. Hiervoor is minimaal een apparaat met “enig beheer” nodig. Om een BYOD device onder “enig beheer” te laten vallen moet er een Mobile Device Management oplossing op worden geïnstalleerd die alle faciliteiten biedt die in de tabel hierboven zijn genoemd. Het apparaat en de Mobile Device Management oplossing dienen op basis van risicomanagement en algemeen aanvaarde “best practices” te worden ingericht en beheerd. Ook moet de gebruiker de vereiste “awareness” opleiding krijgen. Wij achten de bovenstaande beleidskaders verdedigbaar maar wij beseffen ook dat de risico’s en daarom te nemen beveiligingsmaatregelen de implementatie van “any time, place en device” (TPAW) niet eenvoudig maken terwijl hier binnen de Rijksoverheid wel grote behoefte aan is.
Pagina 4 van 6
6
Welke acties zijn nodig Actief kennis delen – Binnen het Rijk is bij pilotprojecten (bij vele departementen) en bij kenniscentra (zoals NCSC, AIVD/NBV) ervaring opgedaan met het omgaan met apparatuur “buiten beheer” en met “enig beheer”. Er is ervaring met verschillende platforms van apparatuur en met verschillende MDM oplossingen. Ook is ervaring opgedaan met risicomanagement, beleidsvorming, gebruiksbeheer en licenties. Bij een beperkt aantal Rijksonderdelen wordt gewerkt aan ontwikkeling van apparatuur met “extra beheer” (Defensie, AIVD/NBV). Het is noodzakelijk om deze kennis actief te delen om zodoende voor het rijk een werkbaar geheel te maken, in lijn met de I-Strategie rijk. Nieuwe ontwikkelingen zoals de mogelijkheden van HTML5 worden ook meegenomen.
Datum 9 oktober 2012 Kenmerk 2012-0000579348
BYOD Beleidskaders toetsen via al lopende departementale pilots. Overleg inrichten met departementen (vooralsnog OCW, EL&I, Financiën, VenJ, AZ en BZK) met representatieve pilots samen met de partijen die over relevante technische expertise en beveiligingskennis beschikken en die over deze materie kunnen adviseren zonder directe belangen te hebben bij de pilotprojecten (TBGI, NCSC, AIVD/NBV). (Q4 2012 – Q1 2013) Risico accepteren - De huidige situatie waarin al pilotprojecten lopen en serieus over grootschalige uitrol wordt nagedacht stellen ons voor situaties die niet snel en eenvoudig in lijn zijn te brengen met bovenstaand beleid. Voor sommige organisaties die nu op een lagere beveiliging hebben ingezet zullen deze beleidskaders – voor de korte termijn – lastig uitlegbaar zijn. Het is echter noodzakelijk dat de overheid aantoonbaar “in control” is van de risico’s. Daarom moet een organisatie die zich niet conformeert aan deze kaders de volgende activiteiten uitvoeren: het leg uit of pas toe principe • Een analyse maken van de risico’s die het niet opvolgen van de beleidskaders oplevert. •
De geconstateerde risico’s formeel accepteren.
•
Deze analyse delen met de andere organisaties binnen de Rijksoverheid zodat op termijn een gezamenlijk risico-acceptatie-niveau kan worden bepaald en een bijbehorende “best practice” voor beveiliging.
Gewenste rijksbrede functionaliteiten bepalen - Samen met departementen wordt gekeken welke departementale initiatieven als Rijksbrede functionaliteit verder kunnen worden ontwikkeld. Hierbij moet gedacht worden aan een MDM-oplossing, DMS- en vergader-App, maar ook andere initiatieven worden bekeken. In Q4 vindt een de inventarisatie plaats via ronde langs alle departementale CIO’s. Ontwerp/eisen voor een generieke inrichting voor het raadplegen van e-mail, documenten en Rijksportaal vanaf wel/niet beheerde apparatuur. (Q1 2013) Data lekkage voorkomen - Het is belangrijk om verder onderzoek te laten doen naar “labelling” van data en beveiliging van data met behulp van “digital rights management” technologie. Hiermee kan worden afgedwongen dat bepaalde bestanden en documenten *nooit* op de telewerk omgeving kunnen terechtkomen. Dit is ook onderdeel van de I-Strategie rijk. (Q2 2013, i.a.m. SIB) Handreiking financiële en juridische consequenties - Een handreiking wordt opgesteld vanuit ICOP (streefdatum Q4 2012). Met daarin: Pagina 5 van 6
6
o o o o
fiscale en juridische consequenties die BYOD met zich meebrengt; de aansprakelijkheid bij verlies, diefstal en beschadiging; de vertaling van de arbeidsomstandigheden die in de ARBO-wet genoemd worden naar beleid voor apparaten; Algemene gebruiksvoorwaarden voor TPAW. Wat zijn generieke voorwaarden en welke voorwaarden kunnen departementen specifiek opstellen. (Q4 2012).
Datum 9 oktober 2012 Kenmerk 2012-0000579348
Beslispunten De ICCIO wordt gevraagd akkoord te gaan met: • De BYOD Beleidskaders; • De in deze notitie genoemde acties en; • Deze acties te beleggen onder de SGI (M08). *
*
*
Pagina 6 van 6
