Sinds 1 januari 2020 is er een nieuwe landelijke norm voor Gemeentes, het Rijk, waterschappen en Provincies, namelijk de Baseline Informatiebeveiliging Overheid (BIO). Deze nieuwe regelgeving met als doel een veilige digitale overheid te creëren zal de bestaande regels vervangen. Zo is dus per 1 januari 2020 de BIG, BIR, BIR2017, IBI en BIWA opgeheven en zijn de regels omtrent een veilige digitale overheid vanaf nu terug te vinden in de BIO. Hierdoor is er één gezamenlijk normenkader ontstaan voor informatiebeveiliging binnen de gehele overheid. En dit gezamenlijke normenkader is gebaseerd op internationaal erkende en actuele ISO standaarden.
Tot de BIO ingesteld werd, was er binnen de overheid weinig synergie en hadden alle bestuurslagen hun eigen richtlijnen. Zo was het Rijk gebonden aan de BIR, Gemeenten aan de BIG, provincies aan de IBI en de waterschappen aan de BIWA. Deze verschillende baselines waren veelal gebaseerd op de ISO normering uit 2005 en hielden nog geen rekening met de actuelere ISO 2013 (NEN-ISO 27002) norm. Om juist een veilige digitale overheid neer te kunnen zetten is er besloten om alles gelijk te trekken en gebaseerd op de nieuwe normen één baseline te maken die door overheid breed ingezet kan worden.
Steeds meer overheden slaan gegevens digitaal op. Gegevens zoals bijvoorbeeld de basisadministratie van inwoners van een gemeente, maar ook gegevens van bijvoorbeeld uitkeringen, de schuldsanering of parkeergegevens. Voor de verwerker van deze gegevens is het verplicht om verantwoord en veilig met deze gegevens om te gaan. Omdat de informatie beveiliging vaak achterloopt bij de digitalisering binnen de overheid zien we hier binnen overheden ook een groot risico. Medewerkers zijn nog niet voldoende op de hoogte van de gevolgen en de informatieveiligheid is nog niet voldoende op orde.
Om er voor te zorgen dat de BIO succesvol ingezet kan worden binnen de organisatie is het belangrijk om als eerst vast te stellen welke gegevens de hoogste prioriteit hebben en voorrang moeten krijgen met beveiliging. Tegelijkertijd is het ook belangrijk om bewustwording te creëren bij de medewerkers. Onderdeel van de totale beveiliging is namelijk niet alleen de software of hulpmiddelen die de beveiliging verhogen, maar zijn ook de medewerkers en hun gedrag. Een bewuste medewerker zal namelijk minder tot geen onveilig gedrag vertonen ten opzichte van een medewerker die geen bewustzijn heeft bij de gevolgen.
Om een goede eerste stap te maken, kunnen we kijken naar de gerenommeerde onderzoekers van Gartner en Forrester. Deze hebben namelijk beide voor het 2de jaar op rij Privileged Access Management / Privileged Accountmanagement (PAM) als de nummer 1 prioriteit voor CISO’s gezet. Maar wat zegt de BIO hierover?
Als we beginnen met Privileged Access Management zien we dat dit een onderwerp is wat toepasbaar is op meerdere punten binnen de BIO. Zo is PAM namelijk toe te passen op:
Bedrijfseisen voor toegangsbeveiliging:
Doelstelling: toegang tot informatie en informatie verwerkende faciliteiten beperken.
Dit onderdeel van de BIO gaat over het beleid van toegansbeveilging. Binnen de organisatie zal er een beleid aanwezig moeten zijn waarin wordt vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen. Ook horen gebruikers alleen toegang te krijgen tot de het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.
Een PAM oplossing kan hier uitkomst bieden. Zo kan je bijvoorbeeld de functionaliteit van een PAM oplossing gebruiken om het beleid van toegansbeveiliging vast te stellen en te documenteren. Binnen de PAM oplossing kan je eenvoudig gebruikersbeheer toepassen en eenvoudig bepaalde rechten toekennen aan gebruikers of juist bepaalde rechten wegnemen. Hier kan je dan ook bij gaan specificeren welke gebruiker juist toegang heeft tot welke systemen en netwerken. Dit allemaal met een volledige auditlog die beschikbaar is voor het security team.
Beheer van toegangsrechten van gebruikers:
Doelstelling: Toegang voor bevoegde gebruikers bewerkstellingen en onbevoegde toegang tot de systemen en diensten voorkomen.
In dit deel van de BIO is de registratie en afmelding van gebruikers geregeld, waarbij een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.
Een PAM oplossing zou hier juist de ideale toepassing voor zijn. Zoals eerder al aangegeven kan je met een PAM oplossing bepaalde toegang toekennen aan gebruikers, of juist wegnemen. Dit kan uitgebreid worden met een “request for access” strategie. Waarbij bijvoorbeeld gebruikers eerst toegang zullen moeten vragen en waarbij de beheerders de toegang kunnen verlenen. Dit kan eventueel tijdsgebonden gedaan worden en met een volledige audit voor het security team. Door op deze manier gebruikers te beheren en tijdelijke toegang te verlenen zal er een veilige manier van werken ontstaan waarin de digitale veiligheid gewaarborgd blijft. Bij misbruik kan er meteen actie ondernomen worden. Mocht een gebruiker wijzigen van functie of uit-dienst gaan waardoor zijn toegang gestopt of aangepast moet worden, dan kan dit met 1 druk op de knop worden aangepast.
Toegangsbeveiliging van systeem en toepassing:
Doelstelling: onbevoegde toegang tot systemen en toepassingen voorkomen.
In dit onderdeel van de BIO worden eisen gesteld aan de toegang tot systemen en toepassingen. Zo dient toegang tot informatie en systeemfuncties van toepassingen te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging. En indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. En indien er gebruik gemaakt wordt van een systeem voor wachtwoordbeheer zal dit systeem interactief moeten zijn en sterke wachtwoorden moeten kunnen waarborgen.
Door te werken met een PAM oplossing geef je gebruikers de mogelijkheid om centraal vanaf één platform toegang te krijgen tot de toepassingen en systemen die ze nodig hebben om hun werkzaamheden te kunnen doen. Inloggen op dit platform kan extra beveiligd worden met bijvoorbeeld MFA. Vanuit het centrale platform zal een gebruiker inloggen op de systemen en toepassingen die hij nodigt heeft in zijn dagelijkse werkzaamheden, zonder dat hij hiervoor de wachtwoorden en gebruikersnamen hoeft in te zien. Hierdoor creëer je dus een werkmethodiek waarin je begint met het inloggen op een platform waarbij MFA aangezet kan worden en je vervolgens via dat platform kan werken op de voor jouw beschikbare systemen zonder gebruikersnamen en wachtwoorden te zien. Hierdoor kan er ook een wachtwoordstrategie worden toegepast waarbij wachtwoorden complex zijn en kan je nieuwe wachtwoorden laten generen met een grote complexiteit (bijvoorbeeld minimaal 20 karakters, variërend van letters, cijfers, leesteken en symbolen), gebruikers hoeven het wachtwoord namelijk toch niet te onthouden. Door deze werkmethodiek toe te passen binnen de organisatie, kan je als extra veiligheid ook nog gaan instellen dat bijvoorbeeld wachtwoorden automatisch gerouleerd zullen worden na het verbreken van de sessie. Je kan op deze manier de toegang van externe partijen te gaan inregelen en hierbij de eerder genoemde “request for access” toe te passen. Voor externe partijen zou je dit zelfs kunnen uitbreiden met Sessie monitoring waarbij je precies kan zien wat een externe partij doet of gedaan heeft en indien nodig meteen, bij bijvoorbeeld misbruik, de sessie direct verbreken.
Bedieningsprocedures en verantwoordelijkheden:
Doelstelling: Correcte en veilige bediening van informatie verwerkende faciliteiten waarborgen.
De BIO gaat hier dieper in op het gebruik van de informatie verwerkende faciliteiten en geeft aan dat bedieningsprocedures gedocumenteerd en beschikbaar moeten zijn voor alle gebruikers en dat veranderingen in de organisatie, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen moeten worden beheerst.
In het kort wordt hiermee bedoelt dat bij wijzigingen verwacht wordt dat er aandacht besteed wordt aan: Het administreren van wijzigingen, risico afwegingen van mogelijke gevolgen van de wijzigingen en goedkeuringsprocedures voor wijzigingen. Alle wijzigingen die worden toegepast binnen de omgeving en beheert via een PAM tool zullen automatisch worden gedocumenteerd. Hierdoor ontstaat er een volledig kloppende audit log die ook in de toekomstige wijzigingen kan aantonen.
Beheren van technische kwetsbaarheden:
Doelstelling: Benutting van technische kwetsbaarheden voorkomen.
De BIO gaat hier dieper in op het gebruik van software door medewerkers en de beperkingen voor het installeren van Software. Zo zou voor gebruikers het installeren van software gebonden moeten zijn aan regels voor het gebruik en implementatie hiervan.
Door naast een PAM oplossing te kiezen voor een End-Point Privilege Manager oplossing kan je niet alleen de toegang tot de meest kwetsbare accounts beheren maar kan je ook het beheer van end-points toepassen. Met een privilege manager kan je een vaste set van software goedkeuren die de gebruikers kunnen gebruiken (whitelist). Daarnaast kan je naast de standaard set aan software een groep creëren die gebruikers alleen kunnen gebruiken na het vragen en krijgen van goedkeuring (greylist). Maar ook kan je kiezen om het gebruik van bepaalde software helemaal te voorkomen door deze software te blokkeren (blacklisten). Het voordeel van deze oplossing is dat gebruikers alleen kunnen en mogen werken met een bepaalt pakket aan software wat eerst is goedgekeurd. Eventuele ransomware of malware zal zich ook niet kunnen installeren waardoor meteen extra veiligheid gecreëerd wordt. Mocht een gebruiker toch per ongeluk een verkeerde link aanklikken, dan heeft dit niet meteen gevolgen voor de systemen.
Zoals je gelezen hebt kan een PAM oplossing op meerdere manieren helpen binnen de organisatie om te voldoen aan de regelgeving. Benieuwd naar wat dit voor uw organisatie kan betekenen? Onze medewerkers geven graag een verdere toelichting.