Maadelijks Archief: februari 2017

Kamervragen over de rol van Fox-IT bij het beveiligen van staatsgeheimen

Door | Security, uit het nieuws | Geen reacites

Nederlandse staatsgeheimen worden beschermd met producten van het bedrijf Fox-IT.

Naar aanleiding van twee artikelen in het NRC Handelsblad op 24 januari  hebben Ronald van Raak en Jasper van Dijk van de SP , en Kees Verhoeven van D66 kamervragen aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties, van Defensie en Economische Zaken gesteld.

De achtergrond is dat de overheid voor het beveiligen van Staatsgeheime informatie afhankelijk is van producten en diensten van het commercieel bedrijf Fox-IT. Nu Fox-IT, overigens al weer meer dan een jaar geleden, is opgekocht door de Britse Investeringsmaatschappij NCC, bestaat de angst dat Nederlandse geheimen in handen van de Britten komen. Gezien de reputatie van de Britten zijn de zorgen terecht, wellicht zijn de vragen die de kamerleden niet scherp genoeg om deze angst te kunnen wegnemen.

Om te beginnen de reputatie van de Britse geheime diensten. Die is zacht gezegd niet best. De Britten hebben in het verleden meerdere meer malen blijk gegeven ‘lak te hebben’ aan procedurele scheidingen en een goede omgang met hun internationale vrienden, zoals prof. Bart Jacobs in één van de genoemde artikelen aangeeft. voorbeelden zijn onder andere de monitoring van alle trans-Atlantische internetverkeer, het bespioneren van bevriende EU-landen, de waarschijnlijke inbraak bij een belangrijke leverancier van telefoon-sims en de inbraak bij een Belgische telecomprovider. Dus het idee dat Britse diensten via een (inmiddels) Brits bedrijf proberen Nederlandse staatsgeheimen in hun bezit te krijgen is niet vergezocht. De vraag is of de Britten bij ‘onze’ geheimen kunnen als ze de controle over Fox-IT hebben.

Laten we aannemen dat de cryptoproducten van Fox-IT ‘state of the art’ zijn en voldoen aan alle fundamentele ontwerp regels voor cryptotechniek en de bijbehorende processen. De externe evaluaties die hierop zijn gedaan, onder meer door de NAVO en TüV Rheinland Nederland, geven deze zekerheid.

Dit betekent dat de leverancier misschien toegang heeft tot de versleutelde data, maar zonder de encryptiesleutels geen toegang heeft tot de inhoud van opgeslagen of in transit staatgeheime informatie. De sleutels die bij de versleuteling worden gebruikt zijn alleen bekend bij de eigenaar / verzender en de ontvanger. Voor staatsgeheime informatie worden de sleutels naar ik verwacht opgeslagen op smartcards en dergelijke. Zelfs met alle kennis van de gebruikte techniek zal het voor de leverancier niet mogelijk zijn om versleutelde berichten ‘te kraken’ zonder deze sleutels.

Een eerste goede aanvullende vraag is of het denkbaar is dat Fox-IT in staat is om alle of bepaalde sleutels of berichten ‘onklaar’ te maken, zodat wij er zelf ook niet meer bij kunnen.

Ook als de leverancier op de hoogte is van de key management processen is dat op zich niet erg, want deze laten alleen zien welke stappen worden gevolgd bij het creëren van de sleutels. De sleutels zelf zullen nooit in deze documenten vermeld zijn. De key management processen zullen niet fundamenteel anders zijn dan die bij banken en andere organisaties. Ze laten mogelijk wel zien welke functies of functionarissen belangrijke rollen spelen. Als Fox-IT een operationele rol heeft bij het beheer van de cryptodiensten, dan is zij mogelijk in staat om ‘meta informatie’  te destilleren over het gebruik ervan: welke afdelingen maken hiervan gebruik, stijgt het gebruik in korte tijd bij een bepaalde afdeling, etc.

Een tweede aanvullende vraag zou dan zijn: heeft Fox-IT een rol in het operationeel beheer van de oplossing en is dit wenselijk?

Het is dus niet zo dat ervoor gekozen is om een privaat bedrijf Nederlandse staatsgeheimen te laten beveiligen. Wel beveiligt de Nederlandse staat haar geheimen met door een privaat bedrijf geleverde producten en diensten. De geheimen zelf komen niet in gevaar als deze techniek in handen is van een commerciële buitenlandse partij. Ook niet als deze na verloop van tijd de boel weer doorverkoopt. En dat hoeft dan niet eens aan een Nederlandse partij te zijn.

Wel in het geding is de continuïteit van de oplossing. Wat gebeurt er als de betreffende Fox-IT afdeling niet meer winstgevend (genoeg) is, de investeerder bepaalt dat het genoeg is geweest en ‘de stekker er uit trekt’? Wat gebeurt er als Fox-IT/NCC onvoldoende geld in beheer en verbetering van de cryptotoepassingen steekt? Stel dat de NAVO of TüV in de toekomst hun certificeringen intrekken of dit dreigen te doen, weet de Nederlandse overheid dat dan?

Het zal duidelijk zijn, een derde aanvullende vraag is of de overheid een exitplan heeft voor de Fox-IT-systemen en diensten, en of dit plan op een realistisch korte termijn is uit te voeren.

En het feit dat NCC Engels is?  Het kan geen kwaad om te onderzoeken in hoeverre de Nederlandse overheid ook op andere vlakken afhankelijk is van Britse IT en telecomdiensten die mogelijk niet zo streng beoordeeld zijn door onafhankelijke internationale instanties. Maar dat geldt natuurlijk net zo goed voor producten en diensten van andere Europese en Trans-Atlantische vrienden.

President Trump heeft haast, uw privacy impact analyse kan niet achterblijven

Door | privacy, uit het nieuws | Geen reacites

De nieuwe Amerikaanse president Donald Trump heeft op woensdag 25 januari een ‘Executive Order’ getekend die illegaal verblijf in de Verenigde Staten wil aanpakken. Omdat er veel ophef in de media is ontstaan over een ander decreet is waarschijnlijk een van de artikelen over privacy relatief ‘onder de radar’ gebleven:

 

Sec. 14.  Privacy Act.  Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Op het eerste gezicht blaast de president hier de Privacy Shield overeenkomst op tussen de VS en Europa over het verantwoord verwerken van Europese persoonsgegevens door Amerikaanse bedrijven. In de praktijk kan het allemaal nog meevallen, al zijn er grote verschillen in interpretatie (onderaan deze blog een bloemlezing).

Onder meer de Europese Commissie geeft aan dat de genoemde Privacy Act nooit bedoeld is geweest om persoonsgegevens van niet-Amerikanen te beschermen. En dat het Privacy Shield juist daarom is ontstaan en nooit van de Privacy Act afhankelijk is geweest.

Daar staat tegenover dat de sluitsteen van de Privacy Shield overeenkomst, het in werking treden van de Amerikaanse Judicial Redress Act weliswaar is goedgekeurd in het congres en de senaat, maar nog niet in werking is getreden. Ook is het Privacy Shield geen door het congres of senaat goedgekeurde wet, maar een (vrijwillige) overeenkomst tussen de EU en het Amerikaanse Ministerie van Handel. Nu ben ik geen jurist, maar volgens mij kan de president de werking van beide opschorten met een volgende Executive Order. Wellicht niet heel realistisch, maar ook niet onmogelijk.

Al met al hebben we hier een mooi scenario te pakken voor de eerstvolgende of een ingelaste Business en Privacy Impact Analysis en Risk Assessment sessie, zeker nu steeds meer bedrijven en organisaties bezig zijn met een transitie ‘naar de cloud’:

  • Welke en hoeveel persoonsgegevens worden verwerkt door, of staan opgeslagen bij Amerikaanse verwerkers en clouddiensten? Wat is de (imago) schade als uitkomt dat daar door Amerikaanse inlichtingendiensten of Amerikaanse bedrijven in gezocht wordt?
  • Het gebruik van diensten van Google (docs, etc), Microsoft (Office 365), Amazon (AWS etc.), Facebook (bedrijfs pagina met aanmeldingen, likes, etc), Apple (voor bedrijfsmatig gebruik van telefoons, iPads met datareplicatie naar iCloud), Android telefoons, etc etc., is of wordt een overtreding van Nederlands/Europees recht. Heb ik een exit strategie, bijvoorbeeld door gebruik te maken van Europese alternatieven?
  • Kan ik dit ook als dit op heel korte termijn gebeurt (presidentiele handtekening)?
  • Als dit gebeurt, moet ik dan een melding doen bij de Autoriteit Persoonsgegevens?. En mijn klanten inlichten? Wat is de reële schade? Wat de imagoschade?
  • Een aantal grote dienstverleners biedt zijn diensten vanuit Europa aan. In ieder geval Microsoft houdt de Amerikaanse veiligheidsdiensten voorlopig buiten de deur. Blijft dit zo? En zo niet, wat zijn daar de consequentie van? Hoe staat MS’s concurrentie in deze wedstrijd?

Meer algemeen is er ook nog een andere boodschap: de zekerheden van gisteren zijn niet de zekerheden van morgen. Dit kan heel plotseling gebeuren. Dit betekent dat het absoluut nodig is om op gezette tijden de uitgangspunten waarop de huidige IT, personeels- en proces zijn afgestemd, tegen het licht gehouden moeten worden:

  • Welke beveiliging, continuïteit en privacy risico’s zijn verbonden aan het gebruik van externe diensten?
  • Weet ik welke informatie extern wordt verwerkt of opgeslagen?
  • Ben ik niet ‘met huid en haar’ overgeleverd aan één externe (cloud) leverancier?
  • Heb ik de beschikking over een (leverancier onafhankelijke) lokale back-up van mijn gegevens, en kan ik die ook met andere oplossingen of diensten verwerken?

Een willekeurige greep uit achtergond artikelen:

  1. https://techcrunch.com/2017/01/26/trump-order-strips-privacy-rights-from-non-u-s-citizens-could-nix-eu-us-data-flows/
  2. https://blog.iusmentis.com
  3. https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/
  4. https://euobserver.com/justice/136699
  5. http://diginomica.com/2017/01/30/privacy-shields-wooly-thinking-just-unraveled-thanks-president-trump/