WWWaar is de IT-auditor?

14 maart 2016
In dit artikel:

Het belang van websites en met name webshops blijft groeien. Maar hoe zorg je ervoor dat websites veilig zijn en voldoen aan relevante wet- en regelgeving? Dit artikel wil vanuit deze vraag een bijdrage leveren aan de bewustwording van de compliance- en beveiligingsrisico’s die websites met zich meebrengen.

Het aantal websites en met name webshops blijft groeien. [VOLK15] Steeds vaker verstrekken klanten van websites persoonsgegevens via contactformulieren en webapplicaties. Dit is een interessante ontwikkeling voor hackers, die leidt tot steeds meer beveiligingsrisico’s voor bedrijven. Op websites als www.pastebin.com zetten hackers creditcardnummers met de bijbehorende namen, codes en vervaldata te koop of bieden ze zelfs gratis aan. De overheid speelt in op deze ontwikkeling met nieuwe of aangepaste wet- en regelgeving en scherper toezicht. Het voldoen aan deze wet- en regelgeving en het bijhouden van de technologische ontwikkelingen zijn echter een enorme uitdaging voor menig IT’er en IT-auditor. Dit blijkt uit vele nieuwsberichten over geslaagde hacks en boetes van toezichthouders naar aanleiding van hun controles. De vraag rijst of de auditor hier kansen laat liggen. Want ook al zonder diepgaande kennis van IT of hacking, kan de IT-auditor een belangrijke adviesrol vervullen bij de beveiliging van websites. Dit wordt in dit artikel geïllustreerd aan de hand van een deelwaarneming op de websites van vijfentwintig beursgenoteerde bedrijven. De resultaten van de deelwaarneming tonen echter ook aan dat de IT-auditor snel een security-adviesrol moet gaan vervullen.

Allereerst gaat dit artikel in op de factoren waarmee de IT-auditor rekening moet houden: de relevante actoren bij een website en de wet- en regelgeving. Vervolgens reikt de volgende paragraaf enkele bronnen voor richtlijnen aan en drie beveiligingsmaatregelen die elke IT-auditor zelf eenvoudig kan onderzoeken. De beveiligingsmaatregelen zijn de basis geweest voor de deelwaarneming, waarvan de resultaten in de volgende paragraaf zijn opgenomen. Het artikel sluit af met de rol die de IT-auditor in dit kader kan invullen.

Schermafbeelding 2016-03-10 om 10.56.14

Veel invalshoeken

De online-concurrentie is hard. Uit websitebeoordelingen blijkt dat 52 procent van de bezoekers de voorkeur geeft aan de beste website in de branche boven de nummer twee. [WUA15] Tegelijkertijd richten hackers zich steeds vaker op misbruik van populaire websites. [NCSC14] In de media lezen we dan ook regelmatig over datalekken. Om personen en hun privacy te beschermen stelt de overheid wet- en regelgeving op en houdt toezicht op de naleving daarvan. Ook derden, zoals de Consumentenbond en zogenoemde goedwillende hackers, komen op voor de belangen van websitebezoekers en de eigenaar van de website. Figuur 1 geeft de relevante actoren van een website weer. De IT-securityprofessional, zoals de IT-auditor, moet rekening houden met deze veelheid aan actoren, die elk vanuit hun eigen hoek betrokken zijn bij een website. Specifiek aandachtspunt is dat de toezichthouders steeds meer controleren op naleving van (nieuwe) wet- en regelgeving en richtlijnen. Dit punt kan de IT-auditor dan ook goed oppakken met een compliance officer.

Steeds meer wet- en regelgeving en scherper toezicht

Om slachtoffers van een datalek zoveel mogelijk te beschermen tegen misbruik van hun gelekte persoonsgegevens trad op 1 januari 2016 de Wet meldplicht datalekken in werking. [EERS15] Deze wet verplicht een onderneming in geval van een datalek zowel de persoon van wie de gegevens zijn gelekt als de toezichthouder, te weten het College bescherming persoonsgegevens (Cbp), te informeren. Het Cbp, vanaf 1 januari 2016 Autoriteit Persoonsgegevens, krijgt dan meer bevoegdheden om boetes op te leggen als organisaties de Wet bescherming persoonsgegevens overtreden. [AUTO15b]

Behalve deze passieve rol kunnen toezichthouders ook actief websites beoordelen. Zo tikte de toezichthouder Autoriteit Consument & Markt (ACM) onlangs vier energieaanbieders op de vingers omdat zij via hun website onduidelijk en misleidend informeerden, onder andere over de hoogte van de netbeheerkosten en over de wettelijke bedenktijd. [NU15]

Ook andere partijen voeren onderzoeken uit. Zo liet de Consumentenbond begin 2015 een beveiligingsbedrijf een onderzoek uitvoeren naar de top 100 webwinkels met de grootste omzet. [CONS15] Deze webwinkels werden gescand om de veiligheid te meten aan de hand van de Open Web Application Security Project top 10. [OWAS13] Dit zijn bekende en vaak voorkomende lekken. Dergelijke onderzoeken beïnvloeden direct het imago van de webwinkels aangezien hun naam in het artikel is opgenomen. In dit geval had twee derde van de onderzochte populatie hun beveiliging niet op orde.

Nieuwe richtlijnen

De overheid stelt naast wet- en regelgeving ook diverse richtlijnen op via het ministerie van Veiligheid en Justitie. Een van die richtlijnen betreft de onlangs geactualiseerde ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC). [NCSC15a] Deze richtlijnen vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur.

Soms slaan de overheid, het bedrijfsleven en maatschappelijke organisaties de handen ineen. Bijvoorbeeld binnen het publiek-private programma ‘Digivaardig & Digiveilig’. Door hun uitgebreide netwerk en het grote aantal programmapartners – zoals het Platform Internetveiligheid en het Nationaal Cyber Security Centrum – trachten zij snel in te spelen op de steeds nieuwe en zich ontwikkelende uitdagingen van de digitale samenleving. Binnen het genoemde programma loopt onder andere het project Veilige Verbindingen, dat begin 2016 een inhoudelijk normenkader voor veilige verbindingen als resultaat wil opleveren. [MATT15]

Tot slot draagt ook de NOREA bij aan de beheersing rondom Cyber Security. Zij introduceerde in augustus 2015 het hulpmiddel ‘Cyber Security Assessment’. [NORE15] Met behulp van een vragenlijst brengt de auditor hiermee op hoofdlijnen de risico’s rondom Cybercrime in kaart.

Het aantal aanvallen op sleutels en certificaten stijgt gestaag

 

Eenvoudig te onderzoeken beveiligingsmaatregelen

Omdat websites voor iedereen toegankelijk zijn, kan iedereen onderzoek naar de beveiliging doen en nagaan of aan de wet- en regelgeving wordt voldaan. Kinderlijk eenvoudig kan bijvoorbeeld worden nagegaan of een website een beveiligingscertificaat bevat en of dit juist is geïnstalleerd. Om de beveiliging van websites te verhogen, hanteren sommige bedrijven een responsible disclosure-beleid. In dit beleid staat hoe het bedrijf omgaat met meldingen van goedwillende hackers over beveiligingsrisico’s. Bijvoorbeeld dat het bedrijf geen juridische consequenties verbindt aan de melding en dat de melder een beloning ontvangt. Ook bevat het beleid de spelregels voor de goedwillende hacker: wat is niet strafbaar en wat wel. Een derde punt dat eenvoudig kan worden nagegaan, is of Google Analytics privacyvriendelijk is ingericht.

Dit zijn slechts drie eenvoudig te implementeren maatregelen (beveiligingscertificaat, responsible disclosure en privacyvriendelijk inrichten van Google Analytics) die vanuit verschillende invalshoeken (zie figuur 1) eenvoudig kunnen worden onderzocht (zie de paragraaf ‘Resultaten deelwaarneming’). Uiteraard kan met tooling gedetailleerder onderzoek worden gedaan door IT-securityprofessionals. Hierbij kan gedacht worden aan een penetratietest, waarbij een IT-securityprofessional de website op beveiliging beoordeelt door de ogen van een hacker. Dit neemt echter niet weg dat ook een IT-auditor zonder kennis en ervaring met het hacken van websites advies kan geven over de beveiliging en de mate waarin websites in overeenstemming zijn met de wet- en regelgeving.

Hierna volgt een nadere toelichting op de drie genoemde maatregelen. Tevens is een deelwaarneming uitgevoerd op vijfentwintig beursgenoteerde bedrijven om na te gaan hoe zij met deze maatregelen omgaan. De resultaten hiervan zijn opgesomd onder de toelichtingen.

Resultaten deelwaarneming

Beveiligingscertificaten

De wereldeconomie is gebouwd op het delen en verwerken van gegevens. Dit stelt hoge eisen aan beschikbaarheid, integriteit en vertrouwelijkheid van de data. Websites maken daarom onder andere gebruik van beveiligingscertificaten en cryptografische sleutels. Een certificaat authenticeert de website – dat wil zeggen dat het certificaat aan een gebruiker toont dat hij/zij terecht is gekomen op de bedoelde website en niet op de website van een kwaadwillende. Daarnaast is de verbinding versleuteld, zodat onbevoegden geen kennis kunnen nemen van de inhoud van de gegevensuitwisseling tussen website en gebruiker. Internationaal onderzoek toont aan dat het aantal aanvallen op sleutels en certificaten gestaag stijgt. [SCMA15]

Wereldwijd gebruikt 22 procent van de populairste websites ‘https’ om een verbinding op te bouwen met versleuteling van de data tijdens het transport. [NCSC15b] Hoewel het gebruik van sleutels en certificaten stijgt, blijkt uit het onderzoek dat 54 procent van de IT-securityprofessionals niet de ‘soll’ en ‘ist’ situatie van het gebruik van sleutels en certificaten op hun websites kent. [SCMA15] Twee jaar geleden lag dit percentage op 50 procent.

Om datalekken te voorkomen moeten organisaties die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen met moderne technieken. Organisaties mogen dus geen verouderde beveiligingstechnieken gebruiken om persoonsgegevens te beveiligen. Dit geldt ook voor het gebruik van beveiligingscertificaten. [AUTO15b]

De Cbp-richtsnoeren houden rekening met een proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen persoonsgegevens. [CBP14] Dit houdt onder andere in dat naarmate de persoonsgegevens een gevoeliger karakter hebben, de wetgeving zwaardere eisen stelt aan de beveiliging van die gegevens. De wet verplicht organisaties dus niet om steeds de zwaarste beveiliging te nemen. Een inbreuk op de beveiliging is dan ook niet noodzakelijkerwijs een nalatigheid in de beveiliging.

Resultaten deelwaarneming naar de beveiliging van websites met beveiligingscertificaten

  • Twee bedrijven hanteren geen certificaat. Ze verzamelen wel persoonsgegevens via een contactformulier. Rekening houdend met de proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen persoonsgegevens, kan dit een bewuste en acceptabele keuze betreffen.
  • Bij twee certificaten komt de opgegeven domeinnaam niet overeen met het domeinnaam in het certificaat.
  • In één geval worden niet alle tussenliggende certificaten door de server aan de browser doorgegeven.
  • Bij twee bedrijven ondersteunt de server het minder veilige SSL v3 protocol. In oktober 2014 is er een kwetsbaarheid in dit encryptieprotocol ontdekt. TLS versie 1.2 of hoger is gewenst.

Responsible disclosure

Een webapplicatie heeft een diversiteit van spelers (zie figuur 1), van goedwillend tot kwaadwillend. Goedwillende hackers en beveiligingsonderzoekers vallen onder de goedwillenden. Zij kunnen sterk bijdragen aan een betere veiligheid van webapplicaties door geconstateerde kwetsbaarheden te delen met de eigenaar van de betreffende webapplicatie. Dankzij een initiatief van het ministerie van Veiligheid en Justitie kunnen de goedwillenden op een vertrouwelijke manier kwetsbaarheden melden volgens de afspraken van een responsible disclosure-beleid. Het aantal organisaties in Nederland dat een responsible disclosure-beleid hanteert groeit sinds de introductie in 2013. In 2013 ontving het NCSC 56 meldingen en in 2014 (peildatum 1 december 2014) 80 meldingen van goedwillende hackers over beveiligingsrisico’s. [TWEE14] Helaas kleven er ook risico’s aan het gebruik van een responsible disclosure-beleid. Goedwillende hackers kunnen dit beleid zien als vrijbrief om een website te hacken, zeker als de spelregels niet duidelijk zijn. Daarnaast monitoren veel bedrijven hun systemen 24 uur per dag / 7 dagen per week. Beheerders reageren alert op hackpogingen. Zij zien niet welke hackpogingen goedbedoeld zijn en welke kwaadwillend. Daarom kan een beheerder al tijdens de pogingen van een goedbedoelende hacker een onderzoek starten en actie ondernemen, voordat de hacker kan aantonen dat hij ‘goedwillend’ is. En wat doet het bedrijf als het de goedwillende hacker lukt om data als bewijs van een kwetsbaarheid te downloaden? Hoe krijgt het bedrijf dan de garantie dat de hacker alle gedownloade gegevens (juist) heeft vernietigd? Wellicht rechtvaardigt dit toch een onderzoek van de politie of justitie. Tot slot geldt het responsible disclosure-beleid tussen de goedwillende hacker en het bedrijf. Ondanks dat er tussen deze partijen afspraken zijn, kan ook het Openbaar Ministerie zelfstandig besluiten om een onderzoek in te stellen.

Uit het voorgaande blijkt dat het instellen van een responsible disclosure-beleid zorgvuldig dient te worden afgewogen om zo het beste besluit te nemen voor het bedrijf én de goedwillende hacker. Een opmerkelijk punt uit het eerder genoemde onderzoek van de Consumentenbond is overigens dat de Consumentenbond de webwinkels heeft geïnformeerd over de kwetsbaarheden, maar dat de helft van de webwinkels niet reageerde op de bevindingen.

Er kleven ook risico’s aan het gebruik van een responsible disclosure-beleid

 

Resultaat deelwaarneming naar het hanteren van een responsible disclosure-beleid

  • Op één van de 25 bedrijven is een responsible disclosure-beleid op de website aangetroffen.

Privacyvriendelijk inrichten van Google Analytics

Econsultancy publiceerde onlangs in samenwerking met analytics consultancy Lynchpin het jaarlijkse ‘The Measurement and Analytics Report 2015’. [ECON15] Het onderzoek is gebaseerd op een enquête onder bijna 900 IT-professionals en laat zien dat bedrijven nu meer gegevens ter beschikking hebben dan ooit om te analyseren en op basis daarvan hun prestaties te verbeteren. Meer dan de helft van de bedrijven (55 procent) maakt effectief gebruik van de gegevens om het gedrag van klanten te analyseren en daarop in te spelen. Een van de meest populaire analytics tools is Google Analytics. Dit is geen verrassing aangezien de tool gratis is. Echter, door gebruik te maken van Google Analytics verwerken bedrijven persoonsgegevens van websitebezoekers. Als bedrijven geen toestemming vragen voor het plaatsen van analytische cookies zijn aanvullende maatregelen nodig om aan de Wbp te voldoen. [AUTO15a]

Zowel de ACM, alsook het Cbp is bevoegd om de relevante wetgeving te handhaven. De boetes kunnen per overtreding tot 450.000 euro (ACM) en 810.000 euro (Cbp) bedragen.

De IT-auditor kan ook zonder diepgaande IT-kennis adviseren over de naleving van een aantal richtlijnen

 

Resultaat deelwaarneming naar het privacyvriendelijk inrichten van Google Analytics

  • Minimaal negen van de 25 bedrijven hebben Google Analytics niet conform de wetgeving ingericht.
  • Van veertien bedrijven kan niet worden nagegaan of en hoe Google Analytics is ingericht.
  • Twee bedrijven voldoen in ieder geval deels aan de wetgeving op het gebied van het anonimiseren van gegevens.

Conclusie

Bijna elke onderneming promoot zichzelf op internet met een website. Veelal worden met deze websites persoonsgegevens verzameld door bijvoorbeeld cookies en winkel- en offertefunctionaliteiten. Aanvallen door hackers op deze websites vinden dagelijks plaats met het doel om deze persoonsgegevens buit te maken. Om de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens te beschermen, ontstaan er steeds meer wet- en regelgeving en richtlijnen. Toezichthouders stellen aanzienlijke boetes in het vooruitzicht en belangenorganisaties kaarten de problematiek aan via de media. Desondanks tonen diverse onderzoeken en een eigen deelwaarneming aan dat de beveiliging en het voldoen aan de wet- en regelgeving van websites veelal onvoldoende is gewaarborgd. Met dit artikel zijn meerdere bronnen aangereikt die de IT-auditor zouden kunnen helpen met het verdiepen van zijn/haar kennis omtrent de beveiliging van websites. Met deze kennis kan de IT-auditor het onderwerp vaker op de agenda plaatsen. De IT-auditor zou zich vervolgens minimaal moeten buigen over de interne ontwikkelrichtlijnen voor websites en betrokken moeten zijn bij het maken van afspraken met leveranciers wanneer websites extern worden ontwikkeld. Ook kan de IT-auditor – zonder diepgaande IT kennis – adviseren over de naleving van een aantal richtlijnen. Indien diepgaand onderzoek naar een website is gewenst, kan de IT-auditor begeleiding bieden bij het inhuren van goedwillende hackers. Het wordt tijd dat de IT-auditor zich laat zien bij deze uitdaging!

Literatuur

[AUTO15a] Autoriteit Persoonsgegevens, ’Handleiding privacyvriendelijk instellen van Google Analytics’, 3 juli 2015. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_0.pdf (geraadpleegd op 6 januari 2016).
 
[AUTO15b] Autoriteit Persoonsgegevens, ’Persoonsgegevens, Meldplicht datalekken’. https://www.cbpweb.nl/nl/melden/meldplicht-datalekken (geraadpleegd op 6 januari 2016).
 
[CBP14] College Bescherming Persoonsgegevens, ’CBP richtsnoeren: beveiliging van persoonsgegevens’. http://wetten.overheid.nl/BWBR0033572/2013-03-01 (geraadpleegd op 6 januari 2016).
 
[CONS15] Consumentenbond, ’Veel grote webwinkels lek’. http://www.consumentenbond.nl/actueel/nieuws/2015/veel-grote-webwinkels-lek/ (geraadpleegd op 6 januari 2016).
 
[ECON15] Econsultancy, ’Measurement and Analytics Report 2015’. https://econsultancy.com/reports/measurement-and-analytics-report/ (geraadpleegd op 6 januari 2016).
 
[EERS15] Eerste Kamer, ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’. https://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken_en (geraadpleegd op 6 januari 2016).
 
[MATT15] Jan Matto en Wilfried Olthof, ‘Hosting sector, essentieel onderdeel van de vitale infrastructuur; Interview met Michiel Steltman’, de IT-Auditor, 2015, nr. 3. https://www.deitauditor.nl/informatiebeveiliging/hosting-sector-essentieel-onderdeel-van-de-vitale-infrastructuur/ (geraadpleegd op 6 januari 2016).
 
[NCSC14] Nationaal Cyber Security Centrum, ‘Cybersecuritybeeld Nederland – CSBN-4’. https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2014/07/10/cybersecuritybeeld-nederland/cybersecuritybeeld-nederland.pdf (geraadpleegd op 6 januari 2016).
 
[NCSC15a] Nationaal Cyber Security Centrum ‘ICT-Beveiligingsrichtlijnen voor Webapplicaties’, 31 augustus 2015. https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html (geraadpleegd op 6 januari 2016).
 
[NCSC15b] Nationaal Cyber Security Centrum, ’Cybersecuritybeeld Nederland 2015: grensoverschrijdende cybersecurity-aanpak noodzakelijk’, 9 november 2015.
https://www.ncsc.nl/actueel/Cybersecuritybeeld+Nederland/cybersecuritybeeld-nederland-5.html (geraadpleegd op 6 januari 2016).
 
[NORE15] NOREA, ’CSA (Cyber Security Assessment)’. https://www.deitauditor.nl/nieuws/csa-cyber-security-assessment-2/ (geraadpleegd op 6 januari 2016).
 
[NU15] Nu.nl, ’Energieaanbieders de fout in met website’, 06 augustus 2015. http://www.nu.nl/geldzaken/4101734/energieaanbieders-fout-in-met-website.html (geraadpleegd op 6 januari 2016).
 
[OWAS13] OWASP, ‘OWASP top ten – 2013’. http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013.pdf (geraadpleegd op 6 januari 2016).
 
[SCMA15] SC Magazine, ’2015 Cost of Failed Trust Report: Trust Online is at the Breaking Point’. http://media.scmagazine.com/documents/115/cost_of_failed_trust_report_28723.pdf (geraadpleegd op 6 januari 2016).
 
[TWEE14] Minister van Justitie, ‘Kamerbrief over voortgang responsible disclosure’. http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2014/12/19/tk-voortgang-responsible-disclosure.html (geraadpleegd op 6 januari 2016).
 
[VOLK15] Volkskrant, ‘Webshops overstijgen dit jaar fysieke winkels’, 22 augustus 2015. http://www.volkskrant.nl/economie/webshops-overstijgen-dit-jaar-fysieke-winkels~a4126952/ (geraadpleegd op 6 januari 2016).
 
[WUA15] WUA!, ‘De WUA! Top 100 Beste Websites 2015 is nu beschikbaar’. http://www.wua.nl/top-100-beste-websites/ (geraadpleegd op 6 januari 2016).

S. (Stan) van Bommel RE

Stan van Bommel heeft ruime ervaring als IT-auditor en Security Consultant. Hij heeft tevens ervaring als webdesigner. Voor een van zijn laatste opdrachten heeft hij tientallen webapplicaties aan de interne security en compliance richtlijnen getoetst.