Wouter Hoeffnagel - 02 oktober 2015

Project Veilige Verbindingen verbetert certificeringen

Er is groeiende aandacht voor de problemen die de gangbare praktijk van certificeringen en audit reports met zich meebrengt. De beroepsorganisatie van IT-auditors Norea luidde onlangs de noodklok over het feit dat ISAE 3402 rapporten, bedoeld voor auditors onderling en toepassing op deelsystemen, worden ‘misbruikt’ door afnemers om de kwaliteit van een site aan te tonen. Eigenaren van websites suggereren veiligheid van hun hele site of applicatie door met de certificeringen van datacenters en hosters te schermen. Certificaten sluiten echter niet op elkaar aan en zowel de scope als bijbehorende inhoud zijn vrij te kiezen. ISO 2700x verklaringen zijn daardoor volstrekt onvergelijkbaar en geven belanghebbenden weinig inzicht in de dekking binnen online ketens. 

De DHPA heeft zich daarom aangesloten bij het project Veilige Verbindingen van het ECP, en heeft samen met ECP de samenwerking gezocht met veel andere partijen die betrokken zijn bij deze materie. Het doel van Veilige Verbindingen is het realiseren van een modulair systeem van herbruikbare audits dat kan zorgen voor transparantie en een complete dekking van online ketens. Daarmee wordt het veel eenvoudiger om de kwaliteit van aanbieders – zoals hosters en datacenters onderling - te vergelijken.

Weinig zekerheid
“Certificeringen geven weinig zekerheid. Éen van de problemen is de dekking van security en privacy in online applicaties of sites. In de praktijk zijn altijd meerdere partijen betrokken bij een webapplicatie. Het gaat hierbij bijvoorbeeld om de hoster, maar ook om de softwareontwikkelaar, het datacenter waarin de applicatie is ondergebracht en de site beheerder. Laat één van deze betrokkenen de bal vallen? Dan is de beveiliging van de gehele webapplicatie in gevaar. Want security is zo sterk als de zwakste schakel in de keten”, legt Michiel Steltman, directeur van de DHPA, uit. 

“Dat bij de gebruikers van sites en applicaties onduidelijkheid bestaat over certificeringen is niet verrassend.  Ze hebben vaak geen idee hoe de keten achter de applicatie of website eruit ziet. En het is niet eenvoudig om te controleren of alle betrokken partijen hun beveiliging op orde hebben. Zo kunnen zowel hoster, datacenter, als softwarebouwer een eigen ISO 27001 certificering behalen, zonder dat duidelijk is of de beveiliging van deze partijen op elkaar aansluit. Wie die zekerheid wel wil hebben moet vertrouwen op een auditteam, dat alle betrokken partijen voor de klant onder de loep neemt. Dat auditteam bezoekt niet zelden een datacenter dat de week daarvoor al door een andere auditor werd bezocht om daar opnieuw dezelfde maatregelen te controleren.”

Weinig zekerheid voor toezichthouders
“Ook geeft de inzet van veiligheidsmaatregelen weinig zekerheid voor toezichthouders. KPN beschikt bijvoorbeeld al jaren over een ISO 27001 certificering. Dat doet vermoeden dat KPN de beveiliging van zijn IT-systemen op orde heeft. Desondanks bleek KPN eind 2013 door de ACM (Autoriteit Consument & Markt) een boete van 364.000 euro opgelegd te hebben gekregen aangezien het bedrijf IT-systemen waarin de persoonsgegevens van klanten zijn opgeslagen onvoldoende had beveiligd. Blijkbaar schiet elk beleid tekort met het oordeel achteraf”, zegt Steltman.

In het project Veilige Verbindingen werken DHPA, ECP, de stichting Zeker-OnLine, SIDN, én de ministeries van Economische Zaken en Justitie samen aan een breed gedragen oplossing. Het project gaat certificeringen modulair maken. Denk hierbij aan een module voor datacenters, software en voor hosters. Klanten kunnen hierdoor aan de hand van modules direct zien op welk onderdeel van de infrastructuur deze betrekking heeft. 

Veiligheid controleren wordt eenvoudiger
“In de modules worden ook meer inhoudelijke kwaliteitsmaatregelen opgenomen. Daarmee wordt het veel eenvoudiger om te controleren of aan ‘minimum adequate’ eisen wordt voldaan. Veilige Verbindingen zorgt zo ook voor meer rechtszekerheid voor aanbieders, want als aan breed gedragen minimum eisen is voldaan moeten boetes achterwege blijven – ook als het onverhoopt dan toch mis gaat.”

Michiel Steltman: “Daarnaast zullen certificeringen aansluitbaar en herbruikbaar worden gemaakt. De certificering van een hoster moet direct aansluiten op een certificering voor een datacenter, zodat de hele keten kan worden afgedekt met de modulaire certificeringen. Door certificaten te hergebruiken zal het aantal audits verminderen.”

Zicht op de keten verbeteren
“Verder is het essentieel dat het zicht op de keten wordt verbeterd. SIDN werkt voor dit doel aan een applicatie die klanten direct inzicht geeft in de volledige keten en de certificeringen waarover betrokken partijen beschikken. De klant ziet dus in één oogopslag of de volledige keten veilig te werk gaat, er geen gaten zitten in de certificeringen van de betrokken partijen en of de webapplicatie of website dus écht veilig is.”

“Als laatste verkent Veilige Verbindingen de aansluiting met Europese initiatieven zoals de Eurocloud Star Audit organisatie, die dezelfde uitgangspunten heeft. Want het heeft niet veel zin om een puur Nederlandse oplossing te maken als er in Europees verband kan worden gewerkt aan standaardisatie.”

Voorbeeld van zelfregulering
“Het project Veilige Verbindingen is een sterk voorbeeld van zelfregulering binnen de online sector. Het is riskant om te wachten op beleid vanuit de overheid. Deze heeft weinig oog voor de complexe wereld van online ketens en hanteert voor het internet begrippen uit het tijdperk van telecommunicatie en on-premise IT. Als we zelf niets doen lopen we het risico om opgezadeld te worden met slecht uitvoerbaar beleid”, zegt Michiel Steltman. 

“Veilige Verbindingen dient daarom ook het publieke belang. Aanbieders weten waar ze aan toe zijn en afnemers krijgen inzicht, zekerheid en de mogelijkheid echt te vergelijken. De transparantie van de online ketens vergroot het vertrouwen. Veilige Verbindingen is een ambitieus project, dat de informatieveiligheid in Nederland op een hoger plan kan tillen!”

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024