Gemeenten beheren en wisselen dagelijks veel informatie uit. Het is hierbij belangrijk dat gegevens niet zomaar voor iedereen inzichtelijk zijn. Een veel gebruikte manier om gegevens goed te beveiligen is encryptie (versleuteling). Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om encryptie (hoofdstuk 10). Welke eisen zijn dit en wat moet je hier als CISO over weten?

Doel van deze blog is niet om een volledige uitleg over encryptie te geven, omdat ik verwacht dat de meeste CISO’s enige kennis hierover hebben. Maar voor de lezers die minder bekend zijn met het onderwerp encryptie, hieronder eerst een korte introductie.

Wat is encryptie?

Encryptie is een manier om gegevens te beveiligen (versleutelen) door ze onleesbaar te maken zodat onbevoegden de informatie niet kunnen inzien. Simpelweg wordt informatie vervangen door andere tekens, waardoor de originele informatie niet meer te herkennen is. Alleen wanneer je over de ‘sleutel’ beheerst, kun je de originele gegevens opvragen en inzien. Het versleutelen van informatie is niet nieuw en wordt al eeuwenlang toegepast. Zo maakten de Romeinen als een van de eersten gebruik van een eenvoudige encryptiemethode, waarbij letters in een bericht via een bepaalde systematiek vervangen werden door andere letters uit het alfabet. Wie de gebruikte code kon ontdekken, kon het versleutelde bericht lezen. In de basis verloopt het proces van encryptie nog steeds hetzelfde, alleen is het tegenwoordig een stuk complexer. Er worden niet alleen maar letters gebruikt, maar ook cijfers en tekens. Zo worden er algoritmes ontwikkeld die gebaseerd zijn op wiskundige formules. Hierdoor zijn zoveel combinaties te maken dat zelfs een supercomputer er vele decennia over doet om ze te ontcijferen (decoderen).

Een bekende vorm van versleuteling is end-to-end-encryptie. Dit wordt bijvoorbeeld door WhatsApp Messenger gebruikt wanneer je chat met een andere persoon. De end-to-end versleuteling zorgt ervoor dat alleen jij en de persoon met wie je chat, kunnen lezen of beluisteren wat er is verzonden en niemand anders, zelfs WhatsApp niet. Door het gebruik van end-to-end versleuteling, worden al je berichten beveiligd met een slot; alleen jij en de ontvanger hebben de speciale sleutel die nodig is om de berichten te ontgrendelen en te lezen. Nu denk je misschien, ik heb hier nog nooit iets voor hoeven doen? Dat klopt. Dit proces verloopt namelijk volledig automatisch: je hoeft geen speciale instellingen in te schakelen om je WhatsApp berichten te beveiligen.

Wanneer en hoe pas je encryptie toe?

Niet alleen de BIO, maar ook de Algemene Verordening Persoonsgegevens (AVG) verplicht ‘passende organisatorische en technische maatregelen’ als het gaat om de bescherming van persoonsgegevens. Waarbij versleuteling (encryptie) wordt genoemd als een van de te nemen maatregelen. Versleuteling van persoonsgegevens kan bijvoorbeeld datalekken tegengaan, omdat versleutelde gegevens niet herleidbaar zijn naar personen wanneer ze in verkeerde handen komen. Een voorwaarde om goede encryptie toe te passen binnen je gemeente, is wel dat hier goede en zorgvuldige afspraken over worden gemaakt en vastgelegd. Een encryptiebeleid is daarbij een randvoorwaarde. Met dit beleid geeft de organisatie aan op welke wijze het omgaat met de versleuteling van gegevens, teneinde de vertrouwelijkheid, integriteit, authenticiteit, en onweerlegbaarheid van informatie te beschermen.

Wat staat er in een encryptiebeleid?

De BIO heeft in hoofdstuk 10 de maatregelen beschreven die te maken hebben met het gewenste beleid betreffende encryptie. Zo moet het beleid minimaal de volgende onderwerpen bevatten:

1. Wanneer en voor welke doeleinden de gemeente encryptie toepast. Dus welke systemen gebruikt de gemeente met welke toepassingen?
2. Controle op de wijze van gebruik. Wie is bijvoorbeeld degene die de encryptie uitvoert? En wie bewaart de sleutel?
3. De normen die dienen als basis voor encryptie en de wijze waarop de normen van het Forum Standaardisatie worden toegepast.
4. De wijze waarop het beschermingsniveau vastgesteld wordt.
5. En, bij communicatie tussen organisaties moet het het beleid onderling worden vastgesteld.

Een voorbeeld: Binnen het Sociaal Domein wordt veel gewerkt met bijzondere persoonsgegevens die vaak per mail naar verschillende ketenpartners of de betrokkene zelf worden verstuurd. Om te zorgen dat deze gegevens goed beveiligd zijn, kan de gemeente bijvoorbeeld software ter ondersteuning van e-mailencryptie aanschaffen. Binnen het encryptiebeleid moet dan zijn vastgelegd waar de encryptie wordt gebruikt, op welke wijze hier gebruik van moet worden gemaakt en in welke gevallen dit verplicht is. Ook bewustwording is hierbij weer een belangrijk aspect. Eindgebruikers moeten weten dat en hoe ze deze software moeten gebruiken en waarom. Tot slot, moet je steekproefsgewijs controleren dat de afgesproken informatie daadwerkelijk via encryptie wordt verstuurd.

Wat zijn passende standaarden?

De overheid volgt de standaarden die op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie staan. Dit geldt ook voor een aantal technische maatregelen uit de BIO. Zo stelt de BIO (maatregel 10.1.1.2) dat, naast een encryptiebeleid, ‘Cryptografische toepassingen moeten voldoen aan passende standaarden’. Maar wat wordt in dit geval verstaan onder passende standaarden?

Er zijn vele soorten encrypties die voor verschillende soorten doeleinden gebruikt worden. Zo zijn er encryptie standaarden als de Advanced Encryption Standard (AES). Zoals de naam al doet vermoeden is dit momenteel de standaard versleutelingstechniek voor de bescherming van de vertrouwelijkheid van de opgeslagen en verzonden data. Daarnaast heb je RSA (veelal gebruikt bij SSL-certificaten), maar ook Hash standaarden (zoals SHA-2). Een hashfunctie maakt van data een unieke hashcode die niet teruggerekend kan worden naar de oorspronkelijke data. Voorbeelden van toepassingen zijn het veilig (gehasht) opslaan van wachtwoorden en het digitaal ondertekenen van documenten. Ook zijn er encryptie standaarden voor het veilig opzetten van draadloze netwerken (Wi-Fi), zoals WPA en WPA2, waarbij WPA staat voor Wi-Fi Protected Access. Dit Encryptie-algoritme zorgt ervoor dat de data pakketjes die zich over het draadloze netwerk bewegen beschermd zijn.

Het is belangrijk dat je binnen je organisatie gebruik maakt van een standaard om te voorkomen dat je ongewenst kwetsbaarheden in je organisatie introduceert. Een standaard kan ook met de tijd vervallen, zoals de voorganger van de AES: de Data Encryption Standard (DES). Gelukkig is hier wereldwijd veel controle op en krijg je tijdig updates van leveranciers om een gekraakte standaard zo snel als mogelijk te updaten.

Wat is de PKIoverheid Standaard?

Binnen de BIO is er ook een maatregel (10.1.2.1) binnen hoofdstuk 10 welke speciaal verwijst naar PKI-overheid certificaten. Dit is een veel gebruikte standaard binnen de (lokale)overheid. Deze standaard maakt het mogelijk om op een betrouwbare manier digitaal te communiceren binnen en met de Nederlandse overheid, banken en de belastingdienst. PKIoverheid-certificaten zijn digitale certificaten die moeten voldoen aan de eisen van de overheid. Ze zijn dé standaard voor het beveiligen van elektronische (overheids)diensten. Het PKIoverheid-certificaat is een computerbestand dat fungeert als een soort digitaal paspoort, waarmee de betrouwbaarheid van informatie-uitwisseling via e-mail, websites of andere gegevensuitwisseling wordt gewaarborgd. PKIoverheid-certificaten worden o.a. gebruikt bij: het zetten van een rechtsgeldige elektronische handtekening, beveiligen van websites, op afstand authentiseren van personen/services of het versleutelen van berichten.

Welke afspraken moet ik met leveranciers maken?

Tot slot, wordt er binnen de BIO (maatregel 10.1.2.2) speciaal aandacht besteed aan het maken van afspraken met leveranciers rondom encryptie. Als je als gemeente andere partijen inschakelt om persoonsgegevens te verwerken, dan moeten deze ‘verwerkers’ ook voldoende maatregelen treffen om de gegevens te beveiligen. Het is daarom belangrijk om te weten welke encryptiemethoden een leverancier toepast, zodat de gemeente een dienst volledig kan beoordelen. Zo kan het zijn dat er (contractuele) afspraken gemaakt moeten worden over reservecertificaten van een alternatieve leverancier, indien uit risicoafweging blijkt dat deze noodzakelijk zijn voor de beschikbaarheid.

Meer informatie?

Ik hoop je met deze blog meer inzicht te hebben gegeven in wat er vanuit de BIO moet gebeuren als het gaat om encryptie. Wil je meer weten rondom het toepassen van encryptie/versleuteling en Public Key Infrastructure (PKI) binnen jouw gemeente? Zie dan ook de Handreiking ‘Encryptiebeleid (PKI)’ van de Informatiebeveiligingsdienst voor gemeenten (IBD).

Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.