Veilig werken via SaaS
Bij Centric is de transitie van on-premises applicaties naar Software as a Service (SaaS) in volle gang. Voor gebruikers biedt SaaS legio voordelen, maar hoe is de informatiebeveiliging eigenlijk geregeld? Nils Hoole, Privacy & Security Officer, vertelt hoe we ervoor zorgen dat ook bij werken vanuit de cloud security geborgd is.
Investeren in infrastructuur, schaalbare omgevingen en een eigen technische beheerorganisatie is niet meer nodig: de voordelen van werken vanuit de cloud zijn bekend. Applicaties zijn bovendien klaar voor de toekomst en je kunt er altijd bij vanaf verschillende locaties en devices. Met de toenemende complexiteit van informatiebeveiliging en het stijgende aantal cyberaanvallen groeit ook het belang van adequate beveiliging. Het is tenslotte niet de bedoeling dat gegevens op straat belanden of dat je bedrijfsprocessen spaak lopen. Wat zijn de belangrijkste maatregelen waarmee we zorgen dat gebruikers van onze SaaS-oplossingen veilig kunnen werken?
Veiligheid voorop dankzij Secure Software Development
Nils: “De basis voor veilige applicaties ligt in de ontwikkeling van veilige software. Centric gebruikt hiervoor de methode en normenkaders van Secure Software Development (SSD) van het Centrum Informatiebeveiliging en Privacybescherming (CIP). Hierdoor hebben klanten inzicht in onze werkwijze voor het ontwikkelen van veilige software. Centric heeft actief bijgedragen aan vernieuwing van de SSD-normen, versie 3. De security requirements van SSD zijn opgenomen in de Centric Baseline voor secure software development en zijn voorwaarde bij de (door)ontwikkeling van onze (SaaS-)producten.” “Om het veilig ontwikkelen van software verder in te bedden, heeft Centric begin 2022 de ‘Shift Left’-beweging ingezet. Dit houdt in dat securityvereisten vanaf het eerste stadium in het softwareontwikkelproces worden meegenomen en in elke opvolgende fase opnieuw aandacht krijgen.” “Om te zorgen dat Centric veilige software levert aan haar klanten worden naast beleidsregels en procedures ook zogenaamde AST-tools ingezet. ‘AST’ staat voor Application Security Testing, wat wordt gebruikt om de kwaliteit en veiligheid van software in kaart te brengen en op onderdelen zelfs af te dwingen. Voorbeelden hiervan zijn SonarQube, Sigrid, Dependency Check en Netsparker. Naast het meten van de kwaliteit van de code, worden hierdoor ook securityanalyses uitgevoerd en vinden er geautomatiseerde controles plaats op bekende kwetsbaarheden. Dit omvat de code die we zelf ontwikkelen, maar ook de gebruikte open source software en componenten van derden, de zogenaamde Software Supply Chain, worden meegenomen in de analyses en controles.”
Aantoonbaar veilig met ISO 27001
“Centric vindt het belangrijk om aantoonbaar te voldoen aan eisen die gesteld worden op het gebied van informatiebeveiliging. Regelmatig wordt dit ook als eis bij aanbestedingen gesteld. Hoe realiseren we dat? Onder andere met ISO 27001-certificering, de internationaal geaccepteerde norm die geldt als basis voor de Baseline Informatiebeveiliging Overheid (BIO). Voor het ontwerpen, ontwikkelen, onderhouden en hosten van onze producten is Centric ISO 27001-gecertificeerd. Dat houdt in dat ons ISMS (Information Security Management System) door een onafhankelijke, geregistreerde auditpartij is gecontroleerd en aantoonbaar in orde is bevonden. Deze audit wordt jaarlijks uitgevoerd.”
DigiD-assessment
“Voor een aantal van onze producten geldt dat inwoners direct met hun DigiD gebruik kunnen maken van de dienst. Logius vereist een jaarlijks ICT-beveiligingsassessment voor producten die DigiD gebruiken en heeft hiervoor een normenkader opgesteld. Voor de betreffende producten laat Centric jaarlijks een externe auditor een assessment uitvoeren voor het applicatiegedeelte en het hostingsgedeelte. Bij deze assessments worden de door Logius aangegeven normen gehanteerd. Het assessment leidt tot een Third Party Memorandum (TPM) dat we aan onze klanten ter beschikking stellen. Deze beoordeling geeft ons en onze klanten extra zekerheid met betrekking tot een juist niveau van informatiebeveiliging van onze producten.”
Identity & Access Management
In het kader van informatiebeveiliging is Identity en Access Management (IAM) een belangrijk component. Vanuit al onze SaaS-producten maken wij hiervoor gebruik van HelloMe. Dat is onze oplossing die identificatie en authenticatie regelt. Denk hierbij aan Single Sign On (SSO), koppeling met Active Directory en Multi-Factor Authentication (MFA). Maar ook functionaliteit als Home Realm Discovery, dat automatisch bepaalt tot welke organisatie een gebruiker hoort, en IP Source Filtering, dat ervoor zorgt dat MFA wordt getriggerd wanneer de gebruiker probeert in te loggen buiten het domein van de organisatie. Uiteraard wordt HelloMe voorzien van alle laatste securityupdates en voldoet het aan de eisen die worden gesteld vanuit de Baseline Informatiebeveiliging Overheid.”
Threat Detection & Response
“Centric beschikt over een eigen Security Operations Center (SOC) dat verantwoordelijk is voor Threat Detection & Response. Dit team van securityspecialisten monitort het Centric-netwerk met verschillende tools. Eén van deze tools is Microsoft Sentinel, een Security Incident en Event Management (SIEM) tool, die intelligente beveiligingsanalyses en bedreigingsinformatie biedt.” “Deze tool combineert data die wordt gegenereerd uit verschillende beveiligingscomponenten, zoals Microsoft Defender, logregels van servers, DDoS-bescherming en firewalls om een zo volledig mogelijk overzicht te bieden voor onze securityspecialisten. Deze securityspecialisten zijn een belangrijke schakel in onze beveiligingsketen. Als er al iets voorbij de opgeworpen barrières zou komen, dan is het hun taak dit zo snel mogelijk te signaleren en passende maatregelen te treffen. Aanvullend biedt Centric klanten een Threat Detection & Response dienst aan.”
Red Team
“Centric heeft een eigen team van ethische hackers – het Red Team – die structureel security audits en pentesten uitvoeren op onze software en diensten. De bevindingen van deze pentests worden teruggekoppeld en leiden tot aanpassingen. De ernst van de bevindingen wordt vastgesteld volgens de CVSS (Common Vulnerability Scoring System) standaard. Op basis van de bepaalde risico's worden maatregelen genomen om de kwetsbaarheden weg te nemen.”
Incident response
Alles wat hiervoor is besproken, draagt bij aan het minimaliseren van de kans op een beveiligingsincident. Helaas valt een incident nooit helemaal uit te sluiten. Het is dus van belang om de juiste procedures en afspraken op te stellen voor als er onverhoopt wél iets gebeurt. Zeker omdat meldingen op verschillende manieren de organisatie binnen kunnen komen. Niet alleen medewerkers of klanten melden beveiligingsissues, Centric heeft ook afspraken gemaakt over meldingen met de Informatiebeveiligingsdienst (IBD) van de VNG. Voor de melders die buiten deze groepen vallen is er een Responsible Disclosure-beleid, dat vertelt hoe te handelen als je een issue vindt in een van onze producten.” “In sommige gevallen kan de impact van een incident zodanig groot zijn dat er gesproken wordt van een crisis. Centric Public Sector Solutions beschikt over een Business Continuity Plan om te zorgen dat de continuïteit van de dienstverlening zo goed mogelijk wordt gewaarborgd. Op basis van zogenaamde Business Impact Analyses worden de meest kritieke assets in kaart gebracht, zodat daar de belangrijkste maatregelen op kunnen worden genomen. Om te zorgen dat de procedures bij iedereen bekend zijn, wordt er twee keer per jaar een crisismanagementtraining georganiseerd.”
Ontwikkelingen
“Een groeiende wens van onze klanten is dat Centric beschikt over een ISAE 3402 type II-verklaring voor de dienstverlening die wordt afgenomen. ISAE 3402 kent geen vastgesteld normenkader, maar is gebaseerd op de onafhankelijke beoordeling door een IT-auditor over de betrouwbaarheid van uitbestede processen. Op dit moment laat Centric al op aanvraag van klanten de processen auditen die voor hen van belang zijn, waarna er een ISAE 3402-verklaring wordt opgeleverd. In juni 2022 is er binnen Centric een werkgroep opgericht die de scope bepaalt van een ISAE 3402-verklaring die over de volle breedte moet gelden en waar alle klanten dus van kunnen profiteren. Deze scope wordt vastgesteld in samenwerking met de interne auditafdeling en de Gebruikersvereniging Centric.” “De Kwetsbaarheidsanalyse Tool (KAT) is een door de Nederlandse overheid ontwikkeld open source systeem met als doel grip te krijgen op securitycontroles. KAT wordt gebruikt door het ministerie van Volksgezondheid, Welzijn en Sport en heeft de ambitie om uit te breiden naar andere overheidsinstanties. Centric is daar graag op voorbereid en ziet hierin de mogelijkheid om een extra controle toe te voegen op de informatiebeveiliging die we bieden. We zijn daarom een pilot gestart met KAT op onze omgevingen.”
Doorlopend aandacht voor security
“De genoemde middelen en maatregelen zijn zeer belangrijk om onze producten en diensten veilig aan te bieden aan onze klanten en aan de inwoners en bedrijven van Nederland. Iedere maand vindt interne verantwoording plaats aan de CISO en periodiek is er afstemming met de Vakgroep Informatiebeveiliging & Privacy van de GV Centric en de Informatiebeveiligingsdienst (IBD) van VNG Realisatie. Nieuwe ontwikkelingen, aanvallen en kwetsbaarheden hebben onze voortdurende aandacht en waar nodig nemen wij extra maatregelen, zodat klanten onze producten en diensten altijd veilig kunnen gebruiken. Dat staat bij ons altijd op één.”
