Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? Eerder schreven wij al een blog over Privacy by Design. In deze blog wil ik graag specifiek ingaan op Security by Design.

Security by Design nieuw?

In de Algemene Verordening Gegevensbescherming (AVG), staat de bescherming van persoonsgegevens centraal. Met de komst van deze nieuwe privacyregels, is ‘Security by Design’ ook een nieuw veelgehoord en trending topic geworden. Maar is het wel iets nieuws? Met de komst van de AVG leek het alsof er heel veel ‘nieuwe’ regels en maatregelen bijkwamen, toch is dit niet het geval. Veel van wat er in de AVG staat beschreven, bestond daarvoor ook al. Alleen werd hier niet tot nauwelijks op toegezien of gehandhaafd. Dit geldt ook voor Security by Design. Dit werd al toegepast in ‘het stenen tijdperk’. Sla je oude boeken over informatiebeveiliging van ruim 20 jaar geleden er maar eens op na. Dan zie je dat hier ook al wordt gesproken over ontwerpcriteria voor informatiebeveiliging. Kortom, binnen het security vakgebied is men hier al wel vele jaren bewust mee bezig.

Maar als we hier dus al jaren geleden mee bezig waren, hoe komt het dan toch dat informatiebeveiliging binnen het ontwerpen van processen en systemen nog steeds als iets ‘extra’s’ wordt gezien? Je zou toch denken dat dit dan al lang een geïntegreerd onderdeel zou zijn van het gehele ontwerpproces van een product of dienst, waar iedere ontwikkelaar gebruik van maakt. Niets is minder waar helaas. Security by Design is anno 2021 nog steeds een ongrijpbaar fenomeen. Tijdens de ontwerpfase van een product wordt nog vaak onvoldoende nagedacht over de beveiliging ervan. De functionaliteit is nog steeds leidend, gevolgd door de technische eisen. Terwijl je juist bij het ontwikkelen van een applicatie of dienst niet alleen naar de functionaliteit moet kijken, maar ook security moet meenemen in alle stappen die nodig zijn om tot de gewenste functionaliteit te komen. In deze blog wil ik hier graag meer aandacht aan besteden, want waar hebben we het over wanneer we praten over Security by Design?

Wat is Security by Design?

Security by design is de naam van het proces waarbij er vanaf het begin, dus de ontwerpfase (architectuur), tot en met realisatie van een applicatie of dienst wordt nagedacht over informatiebeveiliging. Beveiliging wordt op die manier aan de voorkant meegenomen in de functionele en technische eisen van de (web)applicatie en/of dienst. Vervolgens ontwerp en bouw je de systemen volgens die vereisten.

In de praktijk

Ik wil Security by Design graag voor je concreet maken aan de hand van een tiental ontwerpcriteria en beveiligingsprincipes, die 20 jaar geleden ook al werden toegepast alleen nu vaak in een technisch nieuw jasje zijn verpakt:

1. Isolatie

Dit houdt in dat het systeem dat kritieke of gevoelige informatie of processen bevat, zodanig wordt geïsoleerd dat het de openbare toegang beperkt. Dit kan op fysieke (hardwarematige) en logische (softwarematige) wijze. Bij fysieke isolatie moet je denken aan dat het systeem met kritieke informatie is geïsoleerd van het systeem met openbare informatie. Bij logische isolatie gaat het om het aanbrengen van lagen beveiliging tussen het kritieke systeem en het systeem met openbare informatie. Een ander voorbeeld van fysieke isolatie is dat burgers wel de hal van een gemeentehuis in kunnen maar niet zomaar naar alle werkplekken kunnen lopen, doordat deze zijn afgeschermd met toegangspoortjes en/of afgesloten deuren waar je een pasje voor nodig hebt

2. Veilige standaard instellingen

De toegang tot een applicatie mag alleen worden verleend na expliciete toestemming. Alles wat niet expliciet is ‘aangezet’, moet niet worden toegestaan. Stel als standaard bijvoorbeeld in dat wachtwoorden na een bepaalde periode verlopen en stel eisen aan de samenstelling van het wachtwoord.

3. Legitimeren

Dit houdt in dat gebruikers zich altijd eerst dienen te legitimeren door middel van een gebruikersnaam en wachtwoord. Bij kritieke systemen zou ook een tweefactorauthenticatie (2FA) verplicht moeten zijn. Toegang tot een applicatie mag pas plaatsvinden na autorisatie. Niet alleen binnen software kan legitimeren verplicht zijn, maar ook bij de toegang naar bepaalde ruimtes binnen de organisatie waar toegangspasjes noodzakelijk zijn.  

4. Open ontwerp

Vaak wordt nog gedacht dat het geheimhouden van bijvoorbeeld de broncode (Security by Obsecurity) ertoe leidt dat een systeem niet wordt aangevallen. Maar een goede beveiligingsarchitectuur gaat juist uit van een open ontwerp, waarop uitgebreider kan worden getest en zaken makkelijker kunnen worden verbeterd indien nodig. Ook zijn ze op deze manier vaker van de nieuwste updates voorzien.

5. Functiescheidingen

Functiescheidingen zijn op verschillende plaatsen binnen de organisatie verplicht waarbij men zich niet altijd realiseert dat dit ook een onderdeel is van Security By Design. Waar mogelijk moeten kritische functies in het informatiesysteem worden gescheiden. Hierbij moeten de onderscheidende deelfuncties aan verschillende personen worden toegewezen. Bepaalde gevoelige handelingen mogen bijvoorbeeld alleen worden uitgevoerd vanuit het ‘vier-ogen-principe’, waarbij één persoon de handeling uitvoert en een ander persoon deze goedkeurt. Een goed voorbeeld hiervan is dat wanneer er een declaratie wordt ingediend door een medewerker, deze niet de autorisatie heeft om de declaratie goed te keuren en uit te betalen.

6. Beperking

De applicatie moet zo zijn ingericht, dat een gebruiker of een proces alleen toegang heeft tot de informatie en applicaties die nodig zijn voor het uitvoeren van hun werk of taak. Ook wel bekend onder de termen ‘need to know’ of ‘least privelege’ principe. Zo heeft bijvoorbeeld een receptioniste niet dezelfde rechten nodig als een administratief medewerker. 

7. Compartimenten

Systemen moeten bestaan uit verschillende compartimenten. Indien zich dan een veiligheidsissue voordoet blijft dit beperkt tot een specifiek onderdeel. Om dit goed te kunnen controleren moeten de koppelingen tussen de compartimenten zo slank mogelijk worden gehouden. Op die manier neemt de veiligheid van het systeem toe. Vaak wordt dit principe gebruikt bij het inrichten van netwerken. Wanneer een mogelijke hacker of ransomware aanvaller toegang heeft op bepaalde delen van het netwerk, is het door compartimenteren van het netwerk onmogelijk gemaakt om van het ene netwerkonderdeel over te springen naar het andere netwerk.

8. Ergonomie

De applicatie moet zo ontworpen zijn dat de kans dat een gebruiker fouten maakt zo klein mogelijk is. Dit kan door het aanbieden van een gebruiksvriendelijke user interface. Deze voorzorgsmaatregelen beschermen de gebruiker op het maken van fouten, bijvoorbeeld het per ongeluk verwijderen van inhoud of volledige bestanden.

9. Redundantie

Dit houdt in dat de beveiligingsarchitectuur van een systeem niet afhankelijk mag zijn van één enkele beveiligingsmaatregel, maar een combinatie moet zijn van meerdere maatregelen. Ofwel het aanbrengen van meerdere ‘lagen’ beveiliging wat leidt tot redundantie. Bijvoorbeeld niet alleen gebruikersnaam en wachtwoord, maar ook 2FA. Ook wel bekend is het three lines of defence principe.

10. Diversiteit

Tot slot, moeten deze meerdere maatregelen ook nog eens van elkaar verschillen. Dit kunnen tal van maatregelen omvatten die variëren van personele maatregelen, procedures, technische en fysieke maatregelen. Indien een onbevoegde dan één maatregel weet te doorbreken, betekent dit nog niet dat hij gelijk toegang heeft tot de (gehele) applicatie of het proces.  

Meer informatie?
Ik hoop je met deze blog meer inzicht te hebben gegeven in Security by Design. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.