Thuiswerken is sinds het begin van de coronacrisis voor veel bedrijven en hun werknemers de nieuwe realiteit. Daarbij wordt gebruikgemaakt van digitale communicatie. Deze dagelijkse communicatie is vaak beveiligd met X.509 certificaten om de continuïteit van de bedrijfsvoering te waarborgen.
Deze certificaten worden gebruikt om:
- Gebruikers en machines te authentiseren en dus toegang te verlenen tot een bepaald intern of extern netwerk of ruimte/gedeelte van een gebouw.
- Voor beveiligde communicatie ten behoeve van een betrouwbare website die gebruikmaakt van Transport Layer Security (TLS)/Secure Sockets Layer (SSL).
- Voor programma naar programma en machine naar machine communicatie (bijvoorbeeld: Internet of Things).
- Voor het persoonlijk signeren van stukken code in software in product development trajecten.
- Het versleutelen/encryptie van belangrijke data/informatie.
- Het zetten van digitale handtekeningen binnen je organisatie op documenten of e-mails.
Wees je bewust van de hoeveelheid certificaten en de impact ervan op je bedrijfsvoering
Bewijs dat jij ook jij bent
Al deze applicatiegebieden maken in hoge mate gebruik van X.509 certificaten en dus Public Key Infrastructure (PKI). Er worden met een handmatige methode (mogelijk bij beperkt aantal certificaten) of door een Certificaten Management Systeem certificaten aangevraagd, gevalideerd, gemaakt, ingetrokken en gemanaged. En in deze PKI-infrastructuur met certificaten wordt gebruikgemaakt van publieke en privé-sleutels om te bewijzen dat jij ook jij bent. Een dagelijkse bezigheid voor veel bedrijven. Als je als Security & Risk Manager je tenminste bewust bent van de hoeveelheid certificaten en de impact ervan op je bedrijfsvoering.
Niet op de hoogte van de omvang en impact van de huidige certificaten
Toch is dat laatste waar het vaak aan schort bij bedrijven. Ze zijn niet op de hoogte van de noodzaak en mogelijke impact van certificaten en het verlopen ervan. Waarbij op de helpdesk van veel organisaties of bij een externe IT-organisatie veel klachten ontstaan over het niet kunnen inloggen, applicaties niet bereikbaar zijn, websites tijdelijk niet beschikbaar zijn, of het specifieke HR- of Inkoopsysteem niet te raadplegen is.
Overall, as the use cases and volume of certificates increase, the complexity of X.509 certificate management will grow dramatically. – Gartner.
Onterecht vertrouwen gewekt
Het is dus belangrijk je PKI-infrastructuur met certificaten goed in te richten. Anders worden er aan niet geautoriseerde personen certificaten beschikbaar gesteld, of kunnen verkeerde certificaten uitgegeven worden. Dit leidt tot onterecht vertrouwen in de organisatie. Een kwaadwillende hacker maakt natuurlijk graag gebruik van deze certificaten. Met dit digitale paspoort doet hij zich vervolgens anders voor en wordt hij door het digitale landschap geaccepteerd als ‘digitale entiteit’.
PKI-infrastructuur biedt uitkomst
Een nog grotere kans is dat er gewoon een verlopen certificaat actief is. Dan zijn organisaties vaak dagen bezig om de oorzaak te vinden van het probleem, terwijl de oplossing simpel is. Een PKI-infrastructuur met certificaten is de technische oplossing. Deze voldoet ook nog aan de securitymaatregelen beschreven in de AVG in het kader van privacy gevoelige data.
Waar je verder nog op moet letten
Naast het onverwachts verlopen van certificaten is het belangrijk om ook op de volgende zaken controle te houden.
- Zo worden certificaten uitgegeven voor een interne of externe Certificate Authority (CA). Is deze CA nog te vertrouwen en zijn de gegevens van deze CA nog up-to-date?
- Hoe zit het met de hashing, sleutellengte en cryptografische algoritmes. Zijn deze nog van het juiste niveau of hebben hackers al kwetsbaarheden hierin gevonden?
- Hoe blijf ik in controle over het gebruik van certificaten? Het is belangrijk om te monitoren wie en hoe er gebruik wordt gemaakt van de huidige certificaten. Is dit nog volgens het daarvoor opgestelde beleid? Dit om te voorkomen dat bijvoorbeeld phishing aanvallen kunnen plaatsvinden, waarbij gebruik wordt gemaakt van valse websites met gebruik van een SSL/TLS-certificaat. Of dat de integriteit van je data wordt aangetast. Hetzelfde geldt voor vertrouwde communicatie die wordt onderschept. Allemaal voorbeelden van negatieve gevolgen van het niet in controle zijn over je eigen certificaten.
- Ten slotte is het belangrijk om eigenaarschap aan te wijzen. De eigenaren van deze hard- en softwarecertificaten veranderen door de tijd. Ook zijn certificaten vaak belegd bij diverse afdelingen. Het kunnen aanspreken van eigenaren is daarbij belangrijk. Concluderend blijft het een samenspel tussen mens, proces en techniek.
Ga voor een digitale securitystrategie en manage je certificaten
Verdiep je als Security & Risk Manager in de huidige manier van certificaatmanagement in je eigen organisatie. Wat zie je hier als uitdaging? Is dit al bij iemand belegd? Gaat dit proces soepel en effectief? Voldoen we overal aan de juiste security & privacy standaarden? En zijn we eigenlijk wel in controle?
"Security and risk management leaders are often unaware of the scope or status of their X.509 certificate deployments. As certificate scope expands to devices, containers and the IoT, they need to use automated certificate management to avert system outages and gain operational efficiencies.’’ – Gartner
Als het antwoord op een van de bovenstaande vragen NEE is, dan is het hoog tijd om na te denken over een digitale securitystrategie. Bij een digitale securitystrategie kijken we hoe we om moeten gaan met (digitale) identiteiten in de eigen organisatie. Daarbij nadenkend hoe we vervolgens een beleid opstellen met securitykaders (zoals de ISO27001) en privacy kaders (zoals de AVG) voor Certificaat Management. Neem daarin mee of dit handmatig met spreadsheets is op te lossen, of dat toch moet worden nagedacht over een Certificaat Management Systeem.
Kijk naar de kwetsbaarheden zoals verlopen certificaten
En als we dan al met certificaten bezig zijn, dan moeten we kijken of we niet kwetsbaarheden hebben ingebouwd, zoals: verlopen certificaten, certificaten zonder aangewezen eigenaar, certificaten die allemaal op dezelfde datum aflopen, certificaten die verkeerd gebruikt of misbruikt worden, en/of certificaten nog wel aan de juiste huidige cryptografische standaarden en wettelijke kaders zoals eIDAS voldoen.
Het streven is samen naar een veilige en betrouwbare digitale omgeving, waarbij onze persoonlijke data beschermd is.
Jordan van den Akker, Business Security Consultant bij AET Europe