23/11/2021

Standaarden voor veilige websites: wat betekent dit nu concreet?

Leesduur: 7 minuten
veilige_websites_standaarden

Op 22/10/2021 oordeelde de Gegevensbeschermingsautoriteit (GBA) over een klacht wegens een onbeveiligde verbinding van de website van een ziekenhuis. Eindelijk eens wat overwegingen van de GBA over de nodige veiligheidsmaatregelen ter bescherming van persoonsgegevens. Want laten we eerlijk zijn, het begrip ‘technische en organisatorische maatregelen’ blijft tot op vandaag een containerbegrip waar een kat haar jongen niet in terugvindt.

Er zijn wel wat algemene adviezen, guidelines, overwegingen, etc. maar beslissingen van de GBA die concrete parameters uitzetten, blijven voorlopig toch uit. Een ruwe lezing van de gepubliceerde beslissingen van de GBA leert dat er slechts twee voorgaande beslissingen het veiligheidsaspect aankaarten:

  • Een eerste beslissing behandelt de problematische identificatieprocedure waarbij een derde ten onrechte een telefoonnummer dat iemand anders toebehoorde, had toegekend gekregen. Deze beslissing, waarbij een boete werd opgelegd van 25.000 Euro, werd door tussenkomst van het Marktenhof echter inmiddels reeds ingetrokken

 

  • Een tweede beslissing behandelde het gebrek aan een logging procedure op de toegang van een beveiligde databank. Het gebrek aan deze maatregel leverde een boete op van 100.000 Euro.

De verwachtingen van deze ‘derde’ beslissing waren dus hoog.

De onveilige website van een ziekenhuis

De klacht die de GBA in deze beslissing behandelde, was die van een bezoeker op de website. Deze bezoeker stelde vast dat het contactformulier op onversleutelde wijze zou worden verzonden naar het ziekenhuis. Door gebruik te maken van een onbeveiligde verbinding zouden derden kennis kunnen nemen van de ingevulde (gezondheids-)gegevens. Het ziekenhuis zou dus niet voldoende technische en organisatorische maatregelen nemen.

Het ziekenhuis verdedigde zich op haar beurt met de melding dat ze enerzijds een project gestart was met als einddoel een ISO27001 certificering en anderzijds verwerkersovereenkomsten had afgesloten met haar betrokken verwerkers. Aangezien de website gelinkt was aan haar interne systemen, stelde het ziekenhuis ook dat zij gebruik maakte van two-factor authenticatie. Maar ondanks deze maatregelen, blijkt het ziekenhuis wel te erkennen dat een beveiligingscertificaat had moeten worden geïmplementeerd toen daar op gewezen werd. Het formulier zelf werd van de website gehaald.

Overwegingen van de GBA

Vooraleer de GBA ingaat op de inhoud van het probleem, stelt zij vast dat de klager geen persoonlijk belang had zodat het dossier werd geseponeerd. De klager had immers enkel de gegevens van zijn arts willen opzoeken, waarbij er geen eigen gegevens werden verwerkt. De klager had het bewuste online formulier dus niet zelf ingevuld, waardoor er geen eigen persoonsgegevens verwerkt werden. Op zich is dat een spijtige vaststelling, aangezien op die manier de melding van kwetsbaarheden in een systeem van een organisatie in dat geval maar een beperkte praktijk zullen kennen.

Nochtans is zo’n aanklacht en een effectieve behandeling van die klacht op zich een belangrijke veiligheidsmaatregel in het algemeen belang. We verwijzen hier graag naar de praktijk van de vulnerability disclosure policies als erkende beveiligingsmaatregel. De mogelijkheid tot melding en effectieve klachten behandeling biedt dan een mooi tegengewicht t.o.v. de lage meldingsgraad van datalekken door ondernemingen. Maar dat is het onderwerp niet van dit artikel.

Ondanks de seponering van de klacht achtte de GBA het wel nuttig om een reeks algemene overwegingen te maken met betrekking tot de technische en organisatorische maatregelen. Dit in het kader van haar algemene opdracht om bij te dragen aan een hoog niveau van gegevensbescherming. Zij geeft daarbij voornamelijk een kort overzicht van de geldende principes onder de GDPR, nl.:

  • de verplichting tot het nemen van maatregelen die steeds geëvalueerd en geactualiseerd moeten worden
  • deze maatregelen dienen risico-gebaseerd te zijn, met o.a. pseudonimisering en versleuteling van gegevens, de permanente waarborg op vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkingssystemen, het vermogen om op incidenten te reageren en gegevens tijdig te herstellen en een permanente evaluatie van deze maatregelen
  • het principe van een verhoogde waakzaamheid wanneer het om gevoelige gegevens gaat.

Naast deze algemene overwegingen wijst de GBA op het belang van goedgekeurde certificeringsmechanismen. Toegespitst op het probleem van het websiteformulier stelt zij dat gegevens voldoende sterk versleuteld moeten verzonden worden van de computer van de gebruiker naar de server die een website met een formulier aanbiedt. Dit kan gebeuren door gebruik te maken van een beveiligingscertificaat.

Relevant blogartikel

Wie laat zich vrijwillig hacken? De “coordinated vulnerability disclosure policy” voor ethische hacking.

Een beveiligingscertificaat, wat is dat precies?

Om communicatie online te kunnen beveiligen, maak je gebruik van encryptie-protocollen. Men spreekt dan bijvoorbeeld over SSL- of TLS-protocollen. Om gebruik te kunnen maken van deze protocollen heb je een certificaat nodig. Dat certificaat laat toe om vb. jouw websitebezoeker te bevestigen dat jij effectief bent wie je bent achter de bezochte website en/of dat de communicatie die je uitwisselt met deze website ook effectief versleuteld is en dus niet kan onderschept worden door cybercriminelen. Dit systeem beveiligt je tegen man-in-the-middle attacks.

Zo’n certificaat ontvang je van een Certificate Authority (CA) die eerst controleert of jij effectief controle hebt over een domein. Heb je een veilige website met certificaat, dan kan je dat zien aan het ‘slotje’ bovenaan en vóór jouw domeinnaam. Als je daar op klikt, krijg je de bevestiging van de beveiliging en kan je ook nagaan welk certificaat hier aan verbonden is. Wellicht heeft de klager bij de GBA op die manier eenvoudig ontdekt dat het zou gaan om een niet beveiligde verbinding.

Ik heb een beveiligingscertificaat! Maar is dat wel voldoende?

De GBA spreekt in haar beslissing enkel over het ‘gebruik maken van een beveiligingscertificaat’. Is dan het bekomen van zo’n certificaat en dus louter hebben van een certificaat dan voldoende?

Neen, wij zijn van mening dat bij de omschrijving ‘gebruik maken van’ nog heel wat bijkomende maatregelen dienen genomen worden. De reden is dat iedereen CA kan spelen en in principe iedereen zo’n certificaat kan uitgeven. Je moet zeker zijn dat jouw CA wel degelijk betrouwbaar is (‘due diligence is needed’) en zelf haar zaken op orde heeft tegen mogelijke cyberaanvallen.

Een gekend voorbeeld van zo’n CA die in de problemen is gekomen is Diginotar. Door niet geupdate software was een hacker in de webserver geraakt, had daar wachtwoorden kunnen bemachtigen en vaardigde vervolgens 531 valse certificaten uit. Hierdoor werd Diginotar door browsers niet meer als betrouwbaar geacht, waardoor ook andere certificaten van andere domeinen niet meer als geldig werden beschouwd. Omdat heel wat Nederlandse Overheidsdiensten gebruik maakten van certificaten van Diginotar, was het alle hens aan dek om er voor te zorgen dat hun online dienstverlening gewaarborgd zou blijven.

Bijkomende maatregelen zijn dus noodzakelijk. Maar wat kan je dan zoal doen? We geven je alvast graag een aantal tips:

  • Zorg voor een performant certificatiemanagement: wie is verantwoordelijk en betrokken bij het aanvragen, installeren en intrekken van certificaten? Welke certificaten zijn waar in gebruik?, wie is verantwoordelijk voor de opvolging van de verloopdatum en wie zorgt tijdig voor de nodige verlengingen?, wie is mijn CA, hoe betrouwbaar is deze en welke garanties heb ik? Biedt het systeem de mogelijkheid om certificaten te vervangen?
  • Zorg voor technische maatregelen om je privésleutel te beschermen. Voorzie hiervoor een degelijk autorisatiebeheer.
  • Maak gebruik van een Certificate Authority Authorization (CAA). Dit is een veiligheidsmaatregel die je de mogelijkheid biedt om in je hun Domain Name Servers (DNS) te bepalen welke CA’s certificaten voor dat domein mogen uitgeven.
  • Maak gebruik van CT-logs (Certificate Transparency) om periodiek te controleren of er onterechte certificaten voor jouw domein werden uitgegeven.
  • Doe regelmatig een SSL-check, vb. via SSL Labs  
  • Zie tot slot dat je een plan hebt dat je toelaat om zo snel mogelijk gecompromitteerde certificaten in te trekken en te vervangen.

Meer vragen over een degelijk certificatiemanagement? Of wil je graag eens babbelen over je cyber security plannen? Contacteer me gerust via roeland@siriuslegal.be. Je kan ook onmiddellijk een gratis afspraak plannen in mijn agenda

Vragen over dit topic?

Over de auteur

Roeland
Lembrechts

Nadat ik afstudeerde als criminoloog aan de KU Leuven, besloot ik om aansluitend rechten te studeren aan de Universiteit Antwerpen. Met die intellectuele bagage startte ik mijn carrière als advocaat aan de Mechelse balie om ongeveer 10 jaar later partner te worden in het fantastische project van Sirius Legal.

Ook relevant voor jou


Cyber Security Impact Assessment

Cyberveilig ondernemen start met een Impact Assessment van jouw bedrijf. Ontdek hier onze gedetailleerde en efficiënte werkwijze.


Cyber security verbetertraject met de steun van Vlaio

Wij zijn erkend partner van VLAIO in hun cyber security verbetertrajecten. Met dit prachtig initiatief subsidieert Vlaio maar liefst 45% van jouw projectkost. Ontdek er hier meer over.


Incident Management

Wat als er dan toch een veiligheidsincident is? Hoe ga je dan te werk met je Response Management?