image

Wat zijn 'redelijke beveiligingsmaatregelen' eigenlijk (niet)?

maandag 29 september 2014, 09:59 door Ot van Daalen, 8 reacties

Als bedrijven verkocht worden, zal je vaak ook een bepaling over beveiliging in het koopcontract zien. Soms garandeert de verkoper zelfs dat hij redelijke maatregelen heeft genomen om zijn systemen te beveiligen. Maar wat betekent zo’n garantie eigenlijk? Een recent vonnis over de verkoop van DigiNotar geeft een begin van een antwoord.

Wat ging er aan de uitspraak vooraf?

DigiNotar was een SSL-certificaatverstrekker, onder meer voor de Nederlandse overheid. Op 10 januari 2011 werd het bedrijf verkocht aan Vasco, een Amerikaans informatiebeveiligingsbedrijf. In het kader van de verkoop garandeerde de verkoper:

"The Company has [...] taken all reasonable steps and implemented all reasonable procedures to safeguard its IT Systems and Software and prevent unauthorised access thereto."

In juni en juli 2011 – dus na de verkoop – drong een inbreker via het internet binnen in de computersystemen van DigiNotar en maakte valse certificaten aan. Eind augustus raakte de Nederlandse overheid hiervan op de hoogte, en in de nacht van 2 op 3 september 2011 zegde toenmalig minister Donner het vertrouwen in DigiNotar op. Alle browserfabrikanten verwijderden DigiNotar uit hun lijst van vertrouwde certificaatverstrekkers en OPTA trok de registratie van DigiNotar als officieel certificatenverstrekker in. Op 20 september ging DigiNotar failliet. Vasco wilde vervolgens de verkoopsom terug.

Had DigiNotar de beveiligingsgarantie geschonden?

In de uitspraak van 30 juli 2014 gaat de Rechtbank Amsterdam uitgebreid in op de vraag of de beveiligingsgarantie is geschonden. Zij komt tot de conclusie dat de verkoper niet alle redelijke stappen heeft gezet en alle redelijke procedures heeft geïmplementeerd om de systemen van DigiNotar te beveiligen.

Op drie punten bleef de verkoper in gebreke:

1. De verkopers hebben een patch uit 2008 die bedoeld was om een niet-kritieke kwetsbaarheid in de webserversoftware te verhelpen nooit – dus zelfs niet in 2011 – geïnstalleerd. Het is volgens de rechtbank niet zo dat enkel de patches voor ‘critical’ beveiligingsgebreken moeten worden gepatcht; ook de als ‘medium’ en ‘low’ gekarakteriseerde kwetsbaarheden moest DigiNotar patchen. Daarbij speelt een rol dat DigiNotar zélf beveiligingstechnologie levert, zodat van haar verwacht kan worden dat “zij wat betreft de beveiliging van haar eigen systemen de grootst mogelijke zorgvuldigheid zou betrachten en daartoe dus alle mogelijke maatregelen zou nemen”.

2. Belangrijke credentials en wachtwoorden waren onversleuteld opgeslagen op één van de interne computers. Dit wist DigiNotar, en hoewel zij software had ontwikkeld om die wachtwoorden versleuteld op te slaan, werd die blijkbaar niet overal gebruikt.

3. Een werkstation bevatte twee netwerkkaarten en stond in verbinding met een intern, extra-beveiligd netwerk, en het kantoornetwerk. Zo kon de aanvaller zich via de webserver toegang verschaffen tot de rest van de systemen, inclusief de computers waarmee SSL-certificaten werden aangemaakt.

De rechtbank constateerde dat door deze drie omissies DigiNotar haar beveiligingsgarantie had geschonden.

Wat voor les kan je uit dit vonnis trekken?

Het is de vraag of je hier nou echt veel wijzer van wordt, want je leert vooral hoe het níet moet. De redelijke beveiligingsmaatregelen die de rechtbank bespreekt, zijn bovendien geen wereldschokkende maatregelen. Vooral het patchen en het versleuteld opslaan van wachtwoorden zijn maatregelen die behoorlijk voor de hand liggen.

De belangrijkste les is dat de civiele rechter vrij kritisch kan kijken naar het informatiebeveiligingsbeleid van een bedrijf, bijvoorbeeld als dat bedrijf een beveiligingsgarantie afgeeft en de koper vervolgens stelt dat de garantie is geschonden. En zo’n garantie zal niet alleen maar in verkoopovereenkomsten zijn opgenomen: die kan je ook tegenkomen in overeenkomsten waarbij van aanbieders een hoog beveiligingsniveau wordt verwacht. Nóg een argument om systemen goed te beveiligen.

Ot van Daalen is advocaat en oprichter van advocatenkantoor Digital Defence dat is gespecialiseerd in security- en privacyrecht. Daarvoor was hij oprichter en directeur van de digitale burgerrechtenbeweging Bits of Freedom. Hij werkt ook als onderzoeker privacy- en securityrecht bij het Instituut voor Informatierecht aan de Universiteit van Amsterdam.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (8)
29-09-2014, 11:09 door WhizzMan
Ik denk dat je redelijkerwijs kan verlangen dat men als men intern geen kennis heeft men regelmatig goede pentests laat doen en zich aan standaarden als ISO27001 en 2 houdt. Als er voor de beroepsgroep of de branche waar het bedrijf zich in bevind extra standaarden en gedocumenteerde "best practices" bestaan kan je er ook van uitgaan dat deze opgevolgd worden. Als dat niet zo is, zal toch tenminste gedocumenteerd moeten zijn waarom er bepaalde punten niet volgens algemeen gangbare regels en standaarden geregeld is.
29-09-2014, 13:14 door Anoniem
Ach man, laat toch een externe audit doen voor de verkoop.
29-09-2014, 13:31 door Anoniem
"De verkopers hebben een patch uit 2008 die bedoeld was om een niet-kritieke kwetsbaarheid in de webserversoftware te verhelpen nooit – dus zelfs niet in 2011 – geïnstalleerd. Het is volgens de rechtbank niet zo dat enkel de patches voor ‘critical’ beveiligingsgebreken moeten worden gepatcht; ook de als ‘medium’ en ‘low’ gekarakteriseerde kwetsbaarheden moest DigiNotar patchen."

Grappig zo'n uitspraak. Immers kan je aan de hand van een risico analyse kijken wat de impact is van het (niet) patchen van een vulnerability, en soms zijn er ook goede workarounds beschikbaar om het risico weg te nemen, zonder de patch te installeren. De aanname van de rechter dat je perse altijd iedere patch moet installeren lijkt behoorlijk voorbarig. Dat het bij DigiNotar mis is gegaan, moge duidelijk zijn.

Zou de klagende partij, Vasco, binnen de eigen organisatie iedere low/medium risk security update hebben uitgerold ? ;)
29-09-2014, 14:13 door spatieman
om het met het antwoord van een andere fabrikant te stellen.
wij verkopen hamers, en geen veiligheids-producten.
29-09-2014, 14:27 door Profeet
Door Anoniem: "De verkopers hebben een patch uit 2008 die bedoeld was ...... De aanname van de rechter dat je perse altijd iedere patch moet installeren lijkt behoorlijk voorbarig. Dat het bij DigiNotar mis is gegaan, moge duidelijk zijn.

Ik zat hetzelfde te denken. Het risico bij dit soort zaken is dat het een groot Captain Hindsight gehalte krijgt. Het is achteraf altijd makkelijk om te zeggen dat de risico analyse niet goed was omdat men binnen is gekomen.
29-09-2014, 18:14 door Te4sheeh
Door Anoniem: Grappig zo'n uitspraak. Immers kan je aan de hand van een risico analyse kijken wat de impact is van het (niet) patchen van een vulnerability, en soms zijn er ook goede workarounds beschikbaar om het risico weg te nemen, zonder de patch te installeren. De aanname van de rechter dat je perse altijd iedere patch moet installeren lijkt behoorlijk voorbarig. Dat het bij DigiNotar mis is gegaan, moge duidelijk zijn.

De rechter heeft het niet over een willekeurige patch. Hij heeft het over de patch die zou hebben voorkomen dat de aanvaller binnen was gekomen. Dus duidelijk waren er geen andere maatregelen genomen om de risico weg te nemen.

Het is achteraf altijd makkelijk om te zeggen dat de risico analyse niet goed was omdat men binnen is gekomen.

Ze hadden beloofd dat ze alle redelijke stappen hadden genomen. Dat blijkt dus nergens uit (geen patch en ook geen risico analyse), dus hangen ze. Als ze een risico analyse hebben gemaakt is dat iig nooit ergens teruggevonden.
30-09-2014, 13:20 door Anoniem
Deze zaak maakt nog eens extra duidelijk dat het overlaten van beveiliging aan personen die geen beveiligingsexperts zijn op de betreffende platformen en technologieen op een zeker moment ALTIJD fout gaat. Men heeft domweg de kennis niet. Wij laten een beveiligingen in een chemische fabriek ook niet ontwerpen door de accountants... Waarom doen we dat in de ICT dan wel??? Accountants zijn geen ICT beveiligingsdeskundigen. Ze willen graag de IT audit naar zich toetrekken voor het geld maar de onderliggende technische kennis er niet. Laat ze zich lekker bij de business risico's en impact houden!

Bovendien is er geen wetgeving die het hogere management dwingt om echte technische experts in te zetten. Maar dat had ik je al gemeld Ot in je lezing. ;) Zolang die wetgeving er niet is en we het beoordelen van technische beveiligingen overlaten aan boekhouders moeten we ook niet janken als het fout gaat! Anyway dames en heren politici, wanneer krijgen de big four ook het recht om de APK processen te auditen bij garages. Dan hoeven we die vervelende technische controles niet meer overnieuw te doen want het is toch het proces dat telt he... Sure, welterusten :)
01-10-2014, 02:16 door Anoniem
Wat is "redelijke beveiligingsmaatregelen"?... Dat is toch heel subjectief?
Klinkt ongeveer als: Er dienen voldoende maatregelen te worden getroffen ter bevordering van de veiligheid van de bezoekers van de stuntshow... Wie bepaalt wat redelijk is? Wie bepaalt wat voldoende is?
En wat gisteren nog "redelijk veilig" werd geacht, is dat vandaag nog steeds "redelijk veilig"?... En hoe weet je dat dan?
Ja, als het mis gaat. Dan kon het wel eens niet "redelijk veilig" zijn geweest.
Moest verboden worden in contracten en vergunningen zulke terminologie. Nooit ondertekenen.
Werk eerst maar eens schriftelijk uit wat met "redelijk veilig" precies wordt bedoeld in de gegeven situatie!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.