BASELINE INFORMATIEBEVEILIGING OVERHEID. IN 15 STAPPEN BIO-COMPLIANT .

BASELINE INFORMATIEBEVEILIGING OVERHEID | INFORAMTIEBEVEILIGING GEMEENTEN WIJZIGT PER JANUARI 2020 | ISO 27002 | BIG INFORMATIEBEVEILIGING WORDT BIO

Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van de Baseline Informatiebeveiliging Gemeenten (BIG). De BIO geldt per 1 januari 2020. Elke gemeente moet dan gestart zijn met het invoeren van de richtlijnen voor informatiebeveiliging. Want eind 2020 zijn de gemeenten verplicht om aan de BIO te voldoen. En voldoen aan de BIO betekent onder andere dat er een informatiebeveiligingsbeleid moet zijn op het gebied van toegangsbeveiliging. Eén van de doelstellingen van ISO 27002 hierin is de gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie. Maar de BIO maakt onderscheidt in drie basis beveiligingsniveaus (BBN). Dus gaat jouw gemeente voor BBN1, BBN2 of BBN3? Hoe kies jij de juiste IT-partner om je te helpen met de overstap van de BIG naar de BIO. En hoe complex is de uitrol en implementatie van de door jou gekozen BBN?

Deze blogpost is geschreven voor jou als CISO, Functionaris Gegevensbescherming Gemeente, IT-manager of anderszins IT-verantwoordelijke bij de Rijksoverheid of een Nederlandse gemeente, op Bonaire, Sint-Eustatius of Saba. We leggen in dit artikel o.a. uit hoe jij medewerkers ondersteunt bij het beheren van hun wachtwoorden met behulp van een wachtwoordenkluis binnen het informatiebeveiligingsbeleid.

Twijfel je nu of de Baseline Informatiebeveiliging Overheid wel op jouw specifieke overheidsdienst van toepassing is kunnen we hier heel duidelijk in zijn. De BIO is namelijk van toepassing op de gehele Nederlandse Rijksdienst, tw:

• Zelfstandige bestuursorganen en agentschappen
• Rechtspersonen met een wettelijke taak
• Overige uitvoeringsorganisaties
• Provincies en Waterschappen
• Gemeenschappelijke en openbare organen / lichamen waar het Rijk in deelneemt
• Gemeenschappelijke en openbare organen / lichamen volgens de Wet Gemeenschappelijke Regelingen (Wgr)

Baseline Informatiebeveiliging Overheid, de transitie van BIG naar BIO

De Baseline Informatiebeveiliging Overheid heeft als doel het aanscherpen van het informatiebeveiligingsbeleid bij alle onderdelen van de Nederlandse Rijksdienst. Dit zodat al deze specifieke onderdelen erop kunnen vertrouwen dat gegevens die worden verstuurd naar of worden ontvangen van andere onderdelen van de overheid passend beveiligd zijn. Dit in lijn met ISO 27002 en volgens het meest actuele informatiebeveiligingsbeleid. Nieuwjaarsdag 2020 klinkt misschien nog ver weg. Maar voor je het weet is het 1 januari dus het juiste moment voor een CISO of IT-manager bij een Nederlandse gemeente om in actie te komen is nu.

Informatiebeveiligingsbeleid en de Baseline Informatiebeveiliging Overheid?

Actuele en betrouwbare informatie is het fundament van een goed functionerende overheid. Omdat deze informatie een sleutelrol speelt in de dagelijkse bedrijfsvoering is het op de juiste manier beveiligen een serieuze zaak. Het is een on-going-proces waarbij er een glansrol in het verschiet ligt voor jou als CISO of IT-manager:

• Want is de beveiliging te zwaar ontstaat er een onwerkbare situatie.
• Maar is de beveiliging te licht vorm het een serieuze bedreiging voor het informatiesysteem.

Een doordacht risicomanagementbeleid en het vertalen naar een werkbare situatie is hiermee dus een wezenlijk onderdeel van het op de juiste manier uitrollen van de BIO.

Integraal risicomanagement binnen Baseline Informatiebeveiliging Rijksoverheid

De eerste stap van gedegen risicomanagement is het inventariseren van mogelijke schade wanneer een informatiesysteem niet beschikbaar is. Maar ook de gevolgen van onjuiste data of het datalekken is iets dat goed in ogenschouw genomen moet worden. Het is namelijk de inventarisatie van eventuele schade en bedreigingen tezamen dat leidt ot een gedegen informatiebeveiligingsbeleid. Iets dat aansluitend weer strak richting geeft aan de risico beperkende beheersmaatregelen.

Basis Beveiligingsniveau toets helpt bij risicostrategie

De BIO kent drie Basis Beveiligingsniveaus (BBN). Deze BBN’s maken de risicostrategie en de mate van risicomanagement voor elk overheidsorgaan inzichtelijk. Elke BBN bestaat namelijk uit glashelder gedefinieerde beveiligingseisen. Deze beveiligingseisen zijn de beheersmaatregelen die met behulp van de BBN-toets per informatiesysteem bepaald worden.

ISO 27002 – Code voor Informatiebeveiliging

De ISO 27002 standaard is een verdere specificatie van de ISO 27001. De ISO 27002 dient als richtlijn voor veiligheidsstandaarden en als methode voor het behalen van het gewenste veiligheidsniveau van de BBN. Per BBN staat beschreven aan welke beheersmaatregelen van de geldende ISO-standaard deze moeten voldoen. Bij alle beheersmaatregelen binnen de BBN wordt er individueel bepaald hoe en wanneer de beveiligingsdoelen behaald zijn. De beveiligingsdoelen zijn logischerwijs pas behaald als alle controles met succes doorlopen zijn. Een kundige IT-dienstverlener stelt hier duidelijke kaders waarin deze beheersmaatregelen uitgevoerd moeten worden.

Registratie afhankelijk van Basis Beveiligingsniveau

Controles moeten geregistreerd worden. Het detailniveau van deze registraties is afhankelijk van het niveau van de BBN. BBN1 vergt namelijk een minder diepgaande registratie dan BBN2 en BBN2 daarmee ook minder dan BBN3. Wanneer deze registratie op de juiste manier verloopt ontstaat er een keten van afgelegde verantwoordelijkheid helemaal tot aan het hoogste niveau. Deze manier van werken garandeert vertrouwen en is het fundament van overheidsbreed risicomanagement.

BIO als fundament voor integrale samenwerking

De BIO biedt hiermee de basis voor integrale samenwerking tussen alle bedrijfsonderdelen van de overheid. Het delen van data geschied nu gecontroleerd en volgens duidelijke afspraken over veiligheid. Door de gedeelde verantwoordelijkheid, toezicht op nalevering van wet- en regelgeving en de documentatie van het geheel ontstaat er vertrouwen. Vertrouwen in een passende beveiliging van de data of anders een duidelijk beeld van de eventuele risico’s.

Drie verschillende BBN’s

De verschillende BBN’s zijn direct te linken aan relevante dreigingen uit de eerder afgenomen risico-inventarisatie. Daarom onderscheidt de BIO zoals gezegd drie basis beveiligingsniveaus:

• BBN1: wat minimaal verwacht mag worden
• BBN2: bewuste bescherming van veel gebruikte informatie
• BBN3: actieve bescherming van vertrouwelijk en kritische informatie

De keuze voor een BBN wordt zoals eerder benoemd gebaseerd op de risico-inventarisatie in combinatie met de BBN-toets. Iedere BBN behelst een beheersmaatregelen een verantwoordings- en toezichtcontrole. Elk niveau is complementair aan het vorige niveau. Daarbij vult BBN3 de maatregelen en controles van BBN2 aan en BBN2 die van BBN1.

BBN1 – basis beveiligingsniveau 1

Alle informatiesystemen van de overheid moeten minimaal aan dit beveiligingsniveau voldoen. Beheersmaatregelen en controles worden gebaseerd op de AVG en algemeen geldende wet en regelgeving.

BBN2 – basis beveiligingsniveau 2

Dit beveiligingsniveau is relevant wanneer ambtenaren informatie of bijzondere persoonsgegevens met een verhoogd vertrouwelijkheidsniveau verwerken. Denk hierbij aan informatie in het kader van de beleidsvorming.

BBN3- basis beveiligingsniveau 3

Het hoogste beveiligingsniveau is van kracht wanneer het lekken van deze data gevolgen heeft voor de nationale veiligheid, dit in de breedste zin des woords.

Baseline Informatiebeveiliging Nederlandse Gemeenten

Wat we met bovenstaande informatie willen aangeven is dat de komst van de BIO komt met verstrekkende gevolgen voor de verwerking van data op elk niveau. In de volksmond zouden we het kunnen zien als een aanvullende standaard, boven op de AVG, voor informatieverwerkers bij centrale – en decentrale overheden.

De glorieuze rol van de CISO of IT-manager

Het mag voor zich spreken dat vanaf 1 januari 2020 de BIO een feit is en niet meer weg te denken is uit de dagelijkse bedrijfsvoering en informatieverwerking bij de overheid. Het op bestuursniveau niet tijdig meegaan met deze wet en regelgeving zet jou als CISO of IT-manager vroeg of laat voor een haast onoverkomelijke uitdaging. Hoog tijd voor actie dus.

Referentiecase BIO Gemeente Lisse

Interview met Dorien Brauckmann, Beleidsmedewerker I&F gemeente Lisse

Maar elk overheidsorgaan heeft haar eigen unieke BIO-uitdagingen. Daarom is er geen oplossing die standaard overal 1:1 toegepast kan worden. BIO is maatwerk dat zorgvuldig afgestemd moet worden op bijvoorbeeld de gemeente in kwestie. Om jou als CISO of IT-manager een beeld te geven van zo’n uitdaging hieronder de uitdaging, de oplossing en het resultaat voor de Gemeente Lisse:

• Uitdaging was de gebruikers ontlasten van de vele gebruikersnamen en wachtwoorden
• De oplossing was een Single-Sign-On oplossing in combinatie met een personeelspas
• Het resultaat is een integrale oplossing voor wachtwoorden beleid. Alle wachtwoorden zijn sterk, worden veilig opgeslagen en ontlasten de gebruikers

Uitdaging op Basis Beveiligingsniveau

Door de hoeveelheid verschillende taken binnen de gemeenten is het applicatielandschap uitgebreid. Door nieuwe wetgeving neemt dit alleen maar toe. Omdat medewerkers toegang moeten krijgen tot privacygevoelige informatiesystemen, is het aantal inlog-momenten met gebruikersnaam/wachtwoord enorm toegenomen. Collega’s kwamen zelf met de vraag of er een oplossing was voor de vele gebruikersnamen en wacht- woorden om de vele gemeente-applicaties te kunnen gebruiken.

Eén slimme wachtwoord-tool als oplossing

Er worden circa 100 applicaties gebruikt waarvan er zeker 15 met gebruikersnaam en wachtwoord, aldus Brauckmann. Met zoveel gebruikers komen vragen over vergeten gebruikersnamen en wachtwoorden veelvuldig voor. Na een kort onderzoek voor een mogelijke oplossing komt Lisse al snel tot de keuze van een Enterprise Single Sign On oplossing (ESSO).

Na een selectie van 3 mogelijke leveranciers gaf de prijs/kwaliteit verhouding van Imprivata OneSign de doorslag. Bij de keuze voor Imprivata en de Omnikey cardreaders wordt meteen rekening gehouden met de mogelijkheid om een elektronische handtekening te kunnen zetten. Alle medewerkers van de Gemeente Lisse hebben een CompanyCARD gekregen waarop een digitale identiteit komt te staan. Hiermee kan rechtsgeldig elektronisch worden ondertekend.

De medewerkers loggen nu nog maar 1 keer per dag in met hun personeelspas, in combinatie met een pincode en hebben daarmee alle voor die ambtenaar benodigde gemeenteapplicaties tot hun beschikking.

Baseline Informatiebeveiliging Overheid (BIO) compliant als resultaat

• Er is intensief samengewerkt en ondersteuning geboden in het gehele traject, waarbij er voldoende kennis is overgedragen zodat Gemeente Lisse de implementatie verder zelf uit kon voeren.
• Deze keuze komt voort uit de ambitie de kosten te drukken en zelf de regie te kunnen houden.
• De implementatie van de ESSO-oplossing samen met de uitrol van de cardreaders verliep binnen het budget en de afgesproken tijd.

De jarenlange relatie met Commit-IT

“De gemeente Lisse houdt van kundige leveranciers die zich vooral onderscheiden door hun advisering. Commit-IT is al jarenlang partner vanwege hun expertise en goede adviezen aangaande de ICT-omgeving. Voor het uitvoeren van een succesvol project beschikt Commit-IT over de juiste technische kennis, mentaliteit en communicatieve vaardigheden. De consultants van Commit-IT zijn in staat moeilijke materie helder uit te leggen en complexe ICT-vraagstukken terug te brengen tot realiseerbare adviezen en behapbare ontwerpen. Maar naast deze expertise waarderen wij vooral de goede inzet van Commit-IT het BIO-project.”

Dorien Brauckmann, Beleidsmedewerker I&F gemeente Lisse

Met Imprivata voldoe je aan alle eisen van de Baseline Informatiebeveiliging Overheid

Medewerkers binnen de overheid werken met zeer veel applicaties waarvan ze ook nog eens de wachtwoorden moeten onthouden. Dit is uiteraard een onmogelijke taak. Oplossingen die we hierdoor vaak voorbij zien komen zijn:

• Vaak hetzelfde wachtwoord gebruiken
• Een erg simpel wachtwoord gebruiken
• Wachtwoorden opslaan in de cloud
• Wachtwoorden opslaan op de telefoon
• Opschrijven in agenda stuk papier in bureaulade

Dit is allemaal uiteraard niet veilig en kan geen enkele van de drie BIO BBN’s dragen. Als CISO sta je dus samen met de IT-manager voor de uitdaging om de gebruikers te helpen om dit op een eenvoudige en veilige manier op te lossen. Imprivata helpt gemeente dus aan de BIO-eisen te voldoen.

Imprivata is een Enterprise Single-Sign-On oplossing die al jaren actief is in de healthcare. Met een markt aandeel van 80%. Met Imprivata hoeft de gebruikers zelf geen wachtwoorden meer te onthouden en aan te maken. Imprivata doet dit allemaal automatisch op een veilige manier met een minimale belasting voor de afdeling systeembeheer.

Dit zijn gemeenten die al gebruik maken van Imprivata

Gemeente Dalfsen, Gemeente Sluis, Gemeente Lansingerland, GRID, Achtkarspelen en HLT zijn slechts enkele van de gemeenten die we geholpen hebben met de implementatie van Imprivata.

BIO proof in 15 stappen

Stap 1 – veilige wachtwoord kluis

Imprivata biedt een veilige wachtwoord kluis, welke centraal beheerd wordt. Het inloggen op de applicaties vindt plaats op basis van Single Sign On (SSO), waardoor gebruikers zelf geen wachtwoorden meer hoeven te onthouden of te bedenken:

Wat de gebruiker ziet

Wat de beheerder ziet

Stap 2 – two factor authenticatie

Imprivata biedt ingebouwde 2 factor authenticatie op basis van:

1. Toegangspas + wachtwoord
2. Toegangspas + pincode
3. Vingerafdruk + wachtwoord
4. Vingerafdruk + pincode.

Tevens kan samengewerkt worden met een bestaande multi-factor token oplossing zoals SafeNet, Google, Microsoft. Een sterke authenticatie is noodzakelijk als een wachtwoord kluis op basis van Single Sign On (SSO) wordt aangeboden.

Een aantal voorbeelden van multi-factor mogelijkheden

Stap 3 – real time syslog verwerken

Real time loggegevens kunnen doorgestuurd worden aan systemen die syslog gegevens verwerken en consolideren.

Stap 4 – beheersacties loggen

Beheer van Imprivata is rol-gebaseerd en alle beheersacties worden gelogd en er kan op gerapporteerd worden.

Stap 5 – uitgebreide rapportages

Het is mogelijk om te rapporteren vanuit de gebruiker gezien, op welke werkplek of server wat plaatsgevonden heeft (inlog, uitlog, vergrendeling, ontgrendeling, etc)

User Activity report

Stap 6 – activity log

Het is mogelijk om te rapporteren vanuit de werkplek of server gezien, wie er op welk moment wat heeft gedaan (inlog, uitlog, vergrendeling, ontgrendeling, etc).

Computer Activity Report

Stap 7 – log rapports

Het is mogelijk om te rapporteren vanuit de applicatie gezien, wie er op welk moment op ingelogd is.

Computer Activity Report

Stap 8 – user name & password logging

Een zeer waardevol rapport is om te kunnen weergeven welke netwerkgebruikers dezelfde applicatie gebruikersnaam/wachtwoord gebruiken.

Username Correlation Report

Stap 9 – password management

Imprivata kan naast het voor de gebruiker onthouden van de gebruikersnamen en wachtwoorden van applicaties, tevens deze wachtwoorden automatisch vervangen, indien de applicatie na verloop van tijd om een nieuw wachtwoord vraagt. 

 Stap 10 – strong password op elke applicatie

Imprivata kan zelfs voor applicaties die zelf geen sterk wachtwoord afdwingen, het zo maken dat oftewel de gebruiker een sterk wachtwoord moet aanmaken of dat Imprivata zelf een sterk wachtwoord genereert (zelfs op basis van en specifiek masker, indien gewenst). 

Stap 11 – werkplek management

Met Imprivata kunnen eenvoudig uitzonderingen in beveligingsbeleid ondervangen worden.

• Denk bijvoorbeeld aan een “grace” periode van de 2^e factor die in principe voor iedereen van toepassing is, echter op een bepaald aantal werkplekken moet die grace periode afwijken van de standaard.
• Op alle werkplekken moet de werkplek na een inactiviteitsperiode van X minuten vergrendeld worden, echter op een aantal werkplekken is het de bedoeling dat niet (meteen) vergrendeld wordt, echter dat de informatie op het scherm tijdelijk verborgen wordt, totdat de gebruiker de muis beweegt of een toets aan slaat.
• Een werkplek, waarbij vergrendeld moet worden, echter de informatie zichtbaar moet blijven (transparante scherm beveiliging). Heel zinnig bijvoorbeeld voor werkplekken van bewakingsdiensten, die de camera beelden moeten kunnen blijven zien, maar wel de wens/eis is dat een werkplek vergrendeld wordt na een inactiviteitsperiode.

Stap 12 – multiple SSO id’s

Imprivata biedt de mogelijkheid om gebruikers met meerdere SSO identiteiten te laten inloggen op een applicatie. Denk hierbij aan bijvoorbeeld een applicatie beheerder die op de applicatie moet kunnen inloggen met een beheerdersgebruikersnaam, een testgebruikersnaam en diens eigen gebruikersnaam.

Stap 13 – offline authenticatie

Imprivata biedt de mogelijkheid tot offline authenticatie én offline SSO. Hierdoor kan er op bijvoorbeeld laptops, die voorzien zijn van Imprivata , zonder verbinding met het netwerk, toch veilig worden ingelogd.

Stap 14 – password reset 

Imprivata biedt de mogelijkheid tot Self Service Password Reset

Op basis van een concept van persoonsgeboden vragen en antwoorden kan de gebruiker in staat gesteld worden, om diens eigen Windows wachtwoord aan te passen. Hierdoor wordt het gebruikersgemak verhoogd en wordt tevens de druk op de helpdesk verminderd.

Stap 15 – SAML

Imprivata kan gecombineerd worden met SAML.

Conclusie Commit-IT

Daar waar verhoogde veiligheidseisen meestal negatieve gevolgen heeft voor de gebruikers, doordat ze extra handelingen moeten uitvoeren, extra gegevens moeten onthouden kunnen we met deze oplossing juist het gebruikersgemak vergroten.

Een ander groot voordeel is dat alle gegevens in eigen beheer blijven en niet op een niet te controleren omgeving van bijvoorbeeld een provider staan.

De helpdesk is ook tevreden want nu komen er nooit meer calls van gebruikers die hun wachtwoord zijn vergeten, waardoor deze afdeling meer aandacht aan de ondersteuning van gebruikers kan geven.

We kunnen hier duidelijk van een win-win situatie spreken:

• De CISO is blij dat hij de wachtwoord kluis geïmplementeerd heeft.
• De support afdeling is blij omdat zij geen wachtwoorden meer hoeven te resetten.
• De gebruiker is blij omdat hij/zij niets meer hoeft te onthouden.
• En de organisatie is blij omdat de productiviteit omhoog gaat omdat iedereen gelijk aan de slag kan in zijn/haar applicatie.

Om tijdig aan de BIO te voldoen moeten beslissers budgetten beschikbaar stellen, waarna je collega’s zich kunnen conformeren aan de BIO. Hierbij ben jij als CISO of IT-manager de spin in het web. En of de Baseline Informatiebeveiliging Overheid nog niet complex genoeg is, je weet ook alles over cyber security, VDI, thin clients, disaster recovery, IaaS, HIX, en nog veel meer.

Dus wie zegt dat CISO of IT-manager bij de overheid een saaie functie is heeft geen idee van de complexiteit van de materie. De noodzaak bij te blijven bij de constante ontwikkeling en de eisen vanuit het management om overal een passend antwoord op het hebben is ontzettend hoog. Daarom is voor ons een gedreven CISO of IT-manager iemand met wie we graag samenwerken en zien wij hem of haar als de respectabele grondlegger van elke gestroomlijnde organisatie.

Heb je zelf een BIG, BIO of BBN uitdaging?