Tag Archives: Security

Plan van aanpak cyberveiligheid mbo en ho

Ik ben vandaag online te gast bij RijnIJssel voor de 45ste MBO Digitaal Conferentie (voorheen saMBO-ICT). Op vrijdag nemen in de 3de workshopronde Albert Hankel en Martijn Bijleveld ons mee in het plan van aanpak voor cyberveiligheid.

Om hier concreet invulling aan te geven is vanuit SURF de “Innovatiezone State of the Art Cyberveiligheid” gestart. Dit plan vormt in februari de basis voor de gesprekken met OCW over wat nodig is om de cyberveiligheid in het mbo te verbeteren.

Hierin zitten 4 roadmaps:

Komende maanden worden er 2 uitgewerkt, met de volgende doelen/resultaten:

Samen in Control

  • Werken met een gelijk normenkader (NBA)
  • Onderling verantwoording afleggen met peer-review
  • Verantwoordelijk voelen voor elkaar en kennis delen
  • Faciliteren door netwerken
  • Afspraken over crisismanagement en crisisplannen.

Techniek, Bewustzijn en Vaardigheden

  • Awareness: gezamenlijke acties.
  • SOC: alle MBO’s kunnen zich gaan aansluiten
  • Dreigingsinformatie: alle MBO’s hebben toegang tot actuele dreigingsinformatie.
  • Crisisoefeningen via OZON.

Daarna volgde een uitvraag, wat we graag in het plan terug willen zien. Voor nu dus vooral even afwachten dus, maar gezien onze eigen alertheid op dit onderwerp kijk ik er wel naar uit.

NS op het juiste spoor met cyberveiligheid

Ik ben vandaag online te gast bij RijnIJssel voor de 45ste MBO Digitaal Conferentie (voorheen saMBO-ICT). Op vrijdag opent Onno Wierbos met de keynote en laat zien hoe digitalisering en cyberrisico’s hand in hand toenemen en wat de NS doet om weerbaar te blijven.

Onno vertelt over het ambitieniveau van de NS, namelijk niet zozeer alleen ‘treinen regelen’, maar in samenwerking met andere partijen de mobiliteit verbeteren. De digitalisering is al enorm toegenomen (naast reizigersinformatie ook digitale sloten op OV fietsen, lockers, OV-Chipkaart etc) en zal verder toenemen als er zelfrijdende treinen komen. Hand in hand met deze toename zijn de cyber risico’s.

Een voorbeeld was het systeem voor het versturen van ‘kerstpakketten’. Waarin een relatief kleine aanpassing van het ingevoerde personeelsnummer veel meer toonde dan hoorde. Gelukkig niet landelijk ontwrichtend lijkt me, maar een terechte melding bij de Autoriteit Persoonsgegevens. Daarnaast was er inbreuk op de accounts van hun medewerkers.

Hun aanpak:

  • Definiëren van hun kroonjuwelen (ze hebben 190 applicaties). Ik verwacht om te prioriteren en overzicht te hebben.
  • Awareness kweken door phishing mail te simuleren.
  • Online trainingen voor personeel.
  • Kwetsbaarheden ontdekken, door Red Teaming (preventief).
  • Interne expertise en formatie om aanvallen te signaleren en af te slaan (reactief).
  • Samenwerking met andere organisaties.

Hij vertelt over een hele rits cyberaanvallen bij andere vervoersorganisaties. Met gevolgen als databases met medewerker gegevens die op straat liggen en ransomware. Indrukwekkend aantal, in één kalenderjaar en dan nog alleen die cybercrisissen die openbaar zijn. Belangrijkste boodschap: “je komt een keer aan de beurt“. Mijn eigen stelling ook. “Dat overkomt ons nooit” roepen is naïef of overmoedig.

De dreigingsactoren die ze zien:

  • Grootmachten: het risico dat een andere grootmacht specifiek ‘onze’ NS in het vizier heeft lijkt klein. Het kan echter ook zitten in de keten van leveranciers van je systemen. Als deze doelwit worden, heb je daar wel degelijk last van.
  • Georganiseerde misdaad: een reëel risico omdat gijzelsoftware veel geld oplevert.
  • Hacktivisme: een voorbeeld zou zijn dat een hacker op alle displays informatie gaat tonen voor zijn/haar maatschappij-kritische boodschap.
  • Kwaadwillende medewerkers.
  • Scriptkiddies

Onno vertelt rustig, is zich bewust van hun maatschappelijke rol en het vergrootglas waaronder ze liggen. Hij is open over voormalige kwetsbaarheden in hun systemen, wat ik erg respecteer.

Leestip van hem: Het is oorlog maar niemand die het ziet van Huib Modderkolk.

Vraag uit het publiek:

Speelt Enterprise Architectuur een rol om te weten te komen waar kwetsbaarheden zitten? Enterprise Architectuur wordt steeds belangrijker en inderdaad ook in het voorbeeld van de fietsensloten, stallingen en financiële afrekeningen. Daarnaast hebben we overzicht op het landschap nodig, gezien de 190 applicaties.

Beleid voor IAA: Principes voor Autorisatie

Deze blog is de vierde in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De derde is hier te vinden. De specifieke applicaties die hieronder worden vermeld hebben natuurlijk te maken met ons applicatielandschap. Die varieert natuurlijk van organisatie tot organisatie.

Autorisatie beperkt (terecht) de toegang tot informatie, echter soms is dit onwenselijk vanuit het oogpunt van transparantie. We onderscheiden daarom verschillende gebieden met elk hun eigen principes.

Extern publiek informeren: Openbaarheid

De informatie is openbaar en in te zien zonder autorisatie. Het gaat dan om informatie over onze opleidingen ten behoeve van werving, algemene informatie voor ouders en bedrijven, verantwoording over onze publieke taak en webcare. Deze is beschikbaar zonder dat bekend is wanneer een individu deze precies nodig heeft of wil opzoeken. Hij of zij kan deze ten allen tijde ophalen.

Intern publiek informeren: Transparantie

De autorisatie is gebaseerd op het lidmaatschap van een hoofdgroep (leerling, student, medewerker). Het gaat dan om ‘intranet-informatie’, zoals nieuws, evenementen, documenten van algemeen belang, rapportages of besluiten worden gedeeld met alle medewerkers.

Informele samenwerking: Zelf delen

De autorisatie is gebaseerd op het delen van informatie door een naaste collega. Dit kan op eigen initiatief zijn of iemand die hiervoor door zijn leidinggevende is aangewezen. Doorgaans bestaat dit uit Office documenten in een SharePoint Teamsite, een bibliotheek of Yammer (interne social media). De toegang mag laagdrempelig en ad-hoc zijn, en is niet centraal geregeld. Uitzonderingen hierop zijn bijvoorbeeld teamsites voor examens.

Formele samenwerking: Toegang vanuit je rol

De autorisatie is gebaseerd op iemands rol in een proces. Het beheer is centraal geregeld en vastgesteld. Dit geldt voor werken in kernsystemen zoals Afas, EduArte, Proquro, TopDesk en GP Untis. Hier gelden de principes:

Need-to-know, Time-to-know, Place-to-know

Personen krijgen alleen toegang tot functionaliteiten en informatie voor zover dit strikt noodzakelijk is voor het uitvoeren van de aan hen opgedragen werkzaamheden. In de praktijk mogen autorisaties geen belemmering vormen in het kunnen uitvoeren van een functie of procesrol, maar zijn ook geen vanzelfsprekendheid.

Personen krijgen niet langer dan strikt noodzakelijk toegang tot functionaliteiten en informatie voor het uitvoeren van de aan hen opgedragen werkzaamheden, in overeenstemming met hun rol. Autorisaties komen te vervallen bij het wijzigen van functie. Als dit niet automatisch kan, dan dient een kernsysteem hier een beheerproces voor in te richten.

Alle formele rollen worden vastgelegd in een autorisatie-matrix door de functioneel beheerder. In de praktijk is er een autorisatie matrix per applicatie waarin wordt vastgelegd wie (rol en/of context van de identiteit) wat mag (rol/autorisatie). De autorisatiestructuur van een kernsysteem sluit aan bij de goedgekeurde procesbeschrijvingen.

Gebruikers respecteren bij de toegang tot persoonsgegevens de privacy van de betrokkenen conform het IBP beleid en Privacy Reglement. Als toegang tot een ruimte ook toegang tot informatie geeft dan geldt:

  • De toegang tot ruimtes is gebaseerd op je rol en gekoppeld aan een zoneringsplan.
  •  De locatie beheerder ziet toe op de uitgifte en inname van zowel fysieke als digitale sleutels.

Functie-scheiding

Dit geldt zowel voor het beheer van de autorisaties als het gebruik ervan.

  • De aanvrager van autorisaties en de uitgever ervan zijn verschillende functionarissen (vier ogen principe)
  • De samenstelling van rollen/rechten combinaties en de toekenning van autorisaties is dusdanig dat er sprake is van passende functiescheiding voor de eindgebruiker.

BIV classificatie

Een rollen/rechten combinatie is risicovol als een gebruiker (strikt) vertrouwelijke gegevens kan raadplegen of handelingen kan uitvoeren waarmee aanzienlijke schade kan worden oplopen (financieel, tijd, imago, continuïteit). Daarom worden alle informatie houdende applicaties van de onderwijsinstelling aan de BIV classificatie onderworpen (Beschikbaarheid, Integriteit of Vertrouwelijkheid).

Applicaties met een score hoger dan “Midden” op het onderdeel “Vertrouwelijkheid” van de BIV kennen risicovolle rollen, rechten en/of combinaties daarvan. De applicatie-eigenaar stelt in samenwerking met de proceseigenaar vast welke deze zijn. Deze worden schriftelijk vastgelegd voor controle en verantwoording.

Mijn volgende blog zal gaan over de rollen voor IAA.

Beleid voor IAA: Principes voor Authenticatie

Deze blog is de derde in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De tweede is hier te vinden.

Proportionaliteit

Hoe gevoeliger de gegevens zijn hoe meer we ons er van willen overtuigen dat de persoon werkelijk is wie hij zegt dat hij is. De laagste vorm van authenticatie gebruikt een sterk wachtwoord (conform de richtlijn voor wachtwoorden). Gevoelige (persoons)gegevens worden met een extra maatregel beveiligd (meervoudige authenticatie). Het gebruik van een wachtwoord is dan gecombineerd met bijvoorbeeld een pas, token, sms of een vingerafdruk. Ook bij het gebruik van accounts voor beheer en risicovolle rollen in applicaties met een score “Hoog” op het onderdeel ‘Vertrouwelijkheid’ van de BIV classificatie, wordt gebruikt gemaakt van meervoudige authenticatie.

Voor applicaties in het huidige applicatielandschap die geen meervoudige authenticatie ondersteunen maar dat wel nodig hebben wordt een alternatief gezocht of er worden aanvullende maatregelen getroffen om een gewenst beveiligingsniveau te bereiken.

Gebruiker is de bron

Het wachtwoord is verbonden aan de gebruiker zelf. Wij slaan deze niet zelf op noch mogen onze leveranciers hierover beschikken.

Single sign-on: 1x inloggen

Personen loggen niet apart in op onderdelen van de ICT infrastructuur van de onderwijsinstelling. Na inloggen op de ICT infrastructuur vindt authenticatie op het applicatielandschap verder zoveel mogelijk op de achtergrond plaats ter bevordering van het gebruiksgemak en productiviteit.

Single sign-on brengt een beveiligingsrisico met zich mee, maar weegt niet op tegen het bevorderd gebruiksgemak. Om het beveiligingsrisico te mitigeren worden maatregelen geformuleerd in de “Richtlijn voor wachtwoorden”. Verder worden in het BYOD-beleid en Reglement Verantwoord ICT-gebruik gebruik- en beveiligingsrichtlijnen opgenomen om het risico van gebruikersgedrag te minimaliseren.

Single-Sign-On vereist dat externe systemen koppelbaar zijn. Als dat niet het geval is, geldt het “Comply, or explain” principe. Er wordt dus aan de leverancier gevraagd te voldoen aan onze principes en zijn systeem koppelbaar te maken of anders uitleg te geven. Ons Architectenplatform adviseert in deze, om erna met belanghebbenden een afgewogen besluit mogelijk te maken.

Verantwoord gedrag

Elke gebruiker is verantwoordelijk voor het adequaat afschermen/beveiligen van zijn authenticatiemiddelen (account/wachtwoord, schoolpas, Yubikey). Een goede beveiliging met technische maatregelen vormt natuurlijk een basis, maar het effect ervan gaat grotendeels verloren als men bijvoorbeeld wachtwoorden doorgeeft.

Handhaving van het wachtwoordbeleid

De “Richtlijn voor wachtwoorden” (separaat, tactisch document) voor accounts binnen de ICT infrastructuur van de onderwijsinstelling wordt technisch afgedwongen.

Beheer van de ICT infrastructuur

Authenticatie voor het beheer en services in de ICT infrastructuur vereist strikte beveiligingsmaatregelen. Deze worden continue geactualiseerd conform de standaarden voor beveiliging van de ICT infrastructuur.

Mijn volgende blog zal gaan over de principes voor Autorisatie.

Migratie Joomla naar WordPress

joomla.pngwordpress-logo.png

Alhoewel ik Joomla super vind voor allerei soorten dynamische sites en vanwege alle beschikbare plug-ins, ga ik voor blogisch toch naar WordPress. Ik experimenteer al een tijdje met WordPress op de blog van onze dochter: www.noaniobe.nl en het bevalt me goed. Het voordeel van alle plug-ins van Joomla is voor bloggen een nadeel. Welke plugin voor commentaar, welke voor kalendering, welke voor imageviewing? WordPress is “out-of-the-box” al geschikter voor blogging.

De install is erg gebruiksvriendelijk en aan skins geen gebrek. Net als voor Joomla te vinden op www.themesbase.com.

 Nu nog oudere content over zetten…