image

NCSC adviseert berichtenapps met end-to-end-encryptie

donderdag 13 juli 2017, 12:13 door Redactie, 8 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie heeft een factsheet uitgebracht waarin het bedrijven adviseert over het kiezen van een berichtenapp (pdf). Veel zakelijke communicatie verloopt tegenwoordig via berichtenapps, maar dit brengt risico's met zich mee.

Het voornaamste risico volgens het NCSC is dat data op andere locaties terechtkomt dan van te voren bedoeld. Zo kan de verkeerde persoon onbedoeld vertrouwelijke informatie ontvangen, waardoor er sprake van een datalek kan zijn. Daarnaast kan het telefoonnummer niet meer in bezit zijn van de persoon waar de informatie wel voor bedoeld was. Ook is er het risico van de locatie van de data, wie er toegang toe heeft en welke partijen de data kunnen opvragen.

Data komen, bijvoorbeeld door het koppelen van databases na een fusie of overname, bij andere partijen of op een andere locatie terecht. Het kan ook zijn dat data onder een andere jurisdictie valt als het buiten de landgrenzen is opgeslagen. Het NCSC stelt dat het voor organisaties van belang is om in kaart te brengen in hoeverre dergelijke risico's van toepassing zijn op de organisatie.

Het in kaart brengen van de risico's kan via een risicoafweging. Als eerste moet er worden gekeken of een berichtenapp gewenst is en bij de organisatie past. Vervolgens moet het interne beveiligingsbeleid op het gebruik van berichtenapps worde geëvalueerd. Hierna kan er worden onderzocht welke berichtenapp aan het beveiligingsbeleid voor een acceptabel restrisico voldoet.

Encryptie

Het NCSC geeft verder nog een aantal aanvullende beveiligingsmaatregelen voor berichtenapps, zoals alleen het gebruik van berichtenapps waar end-to-end-encryptie is ingeschakeld. Daarnaast moet er alleen voor apps worden gekozen die van opensource-encryptie gebruikmaken, welke controleerbaar is en onderdeel uitmaakt van een beveiligingsaudit. De berichtenapps moeten daarnaast alleen uit erkende appstores worden gedownload en moeten contactgegevens/het telefoonboek niet naar de server van de ontwikkelaar uploaden.

Reacties (8)
13-07-2017, 12:56 door Anoniem
Dat onze overheid de sleepnet-data deelt met een (groot) aantal buitenlandse veiligheidsdiensten is dan weer geen probleem...?
13-07-2017, 13:42 door buttonius
Door Anoniem 12:56: Dat onze overheid de sleepnet-data deelt met een (groot) aantal buitenlandse veiligheidsdiensten is dan weer geen probleem...?
NCSC is onderdeel van de overheid en dit advies klinkt heel verstandig en doordacht.
De overheid is echter zo groot dat je niet moet verwachten dat al haar uitingen en gedragingen consistent, verstandig en doordacht zijn.
13-07-2017, 13:50 door Anoniem
pff, nou bezoek ik dit forum al weer een tijdje, en wordt echt een beetje flauw van al die troll de overheid berichtjes.
Dit is volgens mij een plek voor security professionals.
Wat zou het heerlijk zijn als we onze focus houden op beheersbare risico's en gecontroleerde functionaliteit in plaats van met een alu hoedje op een beetje roeptoeteren.
13-07-2017, 17:28 door Anoniem
"Dit is volgens mij een plek voor security professionals."

Ik geloof dat U ook niet veel weet over security als je dit soort berichten on-professioneel vind. ^^
13-07-2017, 17:53 door Anoniem
Het NCSC heeft een hele defensieve rol (beschermen, reageren, adviseren). Vanuit hun rol zullen ze echt wel hun best doen voor een oprecht en goed advies.
De inlichtingendiensten (mivd/aivd) hebben als taak de allerbeste informatie te vergaren. En dan is encryptie gewoon een bedreiging. Lijkt tegenstrijdig, maar het zijn gewoon twee organen met een andere taakstelling.
Ergens komt dat weer samen en aan die ambtenaren de mooie uitdaging om de juiste balans te vinden.
-> Maken we het vergaren van informatie door inlichtingendiensten makkelijker door de beveiliging te verzwakken: dan komt dat als een boomerang terug aangezien ook kwaadwillenden de zwakheden kunnen en zullen gebruiken. Dat raakt de concurrentiepositie en de veiligheid van onze vitale infrastructuur.
-> maken we het vergaren van informatie door inlichtingendiensten te moeilijk dan kunnen ze hun werk niet doen (en hebben we niets te ruilen met de Amerikanen/Engelsen/Duitsers. we spelen graag met de grote jongens samen en dan moet je mooi speelgoed meenemen (en het liefst kopen van bedrijven in de landen van diezelfde grote jongens))

Prachtig... die digitale cyberwedloop
13-07-2017, 18:14 door Anoniem
Ik wil wel, maar meneer Bertholee wil het niet.
13-07-2017, 23:04 door Anoniem
Door Anoniem: "Dit is volgens mij een plek voor security professionals."

Ik geloof dat U ook niet veel weet over security als je dit soort berichten on-professioneel vind. ^^
Deze hele quote is precies security.nl. Hilarisch!
14-07-2017, 13:09 door karma4
Ook lachen met het ncsc. De gebruikers moeten zich richten op open source want de gebruikers kunnen die code wel valideren.
Een faal van start.

Als het ncsc zichzelf serieus neemt moeten ze dat juist daar oppakken. Closed met een nda of open maakt dan echt niets uit. Er wordt beweerd dat het specialistische kennis is en dat men dat bij het ncsc heeft..... (nou werkt daar guust?).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.