Download publicatie

Een handreiking betrouwbaarheidsniveaus
Voor dienstverleners in het hoger onderwijs & onderzoek
Auteur(s):
Eefje van der Harst (SURFnet) en Martijn Oostdijk (Novay)
Versie:
1.0
Datum:
1 februari 2014
Radboudkwartier 273
3511 CK Utrecht
Postbus 19035
3501 DA Utrecht
030 - 2 305 305
[email protected]
www.surfnet.nl
ING Bank NL54INGB0005936709
KvK Utrecht 30090777
BTW NL 0089.60.173.B01
Handreiking betrouwbaarheidsniveaus HO&O
Inhoudsopgave
1 Management samenvatting ............................................................................................................ 3 2 Introductie ....................................................................................................................................... 4 3 Diensten en usecases .................................................................................................................... 7 3.1 Onderwijs ................................................................................................................................. 7 3.2 Onderzoek................................................................................................................................ 8 3.3 Sturing en bedrijfsvoering ........................................................................................................ 8 4 Criteria ............................................................................................................................................. 9 4.1 Onderwijs ................................................................................................................................. 9 4.2 Onderzoek.............................................................................................................................. 10 4.3 Sturing en bedrijfsvoering ...................................................................................................... 10 4.4 Lijst met criteria ...................................................................................................................... 11 5 Risicoveranderende factoren ...................................................................................................... 13 5.1 Risicoverlagende factoren...................................................................................................... 13 5.2 Risicoverhogende factoren .................................................................................................... 13 6 Referenties .................................................................................................................................... 14 Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie
Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl
Handreiking betrouwbaarheidsniveaus HO&O
1
Management samenvatting
Deze handreiking beschrijft een methode voor het bepalen van het minimaal te eisen
betrouwbaarheidsniveau (LoA, Level-of-Assurance) voor het vaststellen van de identiteit van
gebruikers van online diensten in de Hoger Onderwijs en Onderzoekssector. Naarmate er steeds
meer gevoelige gegevens verwerkt worden in deze sector is er behoefte aan meer zekerheid omtrent
de identiteit van gebruikers. De methode maakt gebruik van een lijst van criteria waaraan de dienst
moet voldoen. De criteria zijn gebaseerd op het soort gegevens dat verwerkt wordt, en de wijze
waarop deze door toedoen van de betreffende gebruiker van de dienst verwerkt worden.
Risicoverhogende en –verlagende maatregelen kunnen ingezet worden om het resulterende
betrouwbaarheidsniveau beperkt bij te stellen. Use-cases uit het Hoger Onderwijs- en Onderzoek
(gebaseerd op de referentiearchitectuur HORA) bepalen de scope van de handreiking. De handreiking
is een eerste versie, en moet beschouwd worden als levend document.
3/14
Handreiking betrouwbaarheidsniveaus HO&O
2
Introductie
Levels of Assurance (LoA, ook wel “betrouwbaarheidsniveaus”) geven aan op welk niveau de identiteit
van gebruikers is vastgesteld. Een LoA wordt doorgegeven aan een dienstverlener, zodat deze de
informatie mee kan nemen in risicoafwegingen tijdens het verlenen van de dienst. De hoogte van het
LoA wordt bepaald door:
•
de kwaliteit van de processen waarmee de identiteit geverifieerd en uitgeleverd wordt,
•
en de technieken waarmee de authenticatie plaatsvindt (het “authenticatiemiddel”, vaak een “tweede
factor” naast username/wachtwoord)
De resulterende LoA is alleen hoog als beide aspecten van voldoende kwaliteit zijn, i.e., als de
identiteit bij enrollment goed geverifieerd is, en als het authenticatiemiddel technisch gezien goed
beschermd is.
Waar in het verleden in de hoger onderwijs en onderzoekssector een lage LoA vaak voldoende was,
is er een toenemende behoefte aan hogere LoAs. Deze behoefte wordt vanuit gebruikers en de
instellingen (de IdP, “Identity Provider”) gevoeld: Een tweede authenticatiefactor is belangrijk om de
gebruiker en hun data te kunnen beschermen tegen allerlei aanvallen. Echter, de echte behoefte aan
hogere LoA’s bestaat bij de dienstverleners (SP, “Service Provider”). Doordat steeds meer diensten
vertrouwelijke informatie verwerken moet de identiteit van gebruikers van die diensten beter worden
vastgesteld.
Er bestaan (formele en informele) standaarden die de betrouwbaarheid van een identiteit opdelen in
vier discrete niveaus [NIST, STORK, ISO29115]. In deze standaarden wordt de betekenis van de
verschillende niveaus beschreven in algemene termen. De tabel hieronder komt uit ISO29115:
Level
Beschrijving
1 – Laag
Weinig of geen vertrouwen in de geclaimde of verzekerde (“asserted”)
identiteit
2 – Medium
Enig vertrouwen in de geclaimd of verzekerde identiteit
3 – Hoog
Veel vertrouwen in de geclaimde of verzekerde identiteit
4 – Zeer
hoog
Zeer veel vertrouwen in de geclaimd of verzekerde identiteit
De niveaus beschreven in STORK zijn voorzien van criteria voor zowel de registratieprocessen als het
authenticatiemiddel. De lezer wordt verwezen naar deliverable D2.3 [STORK] voor de details. De tabel
hieronder, gebaseerd op [BFS] en [NICTIZ] geeft sprekende voorbeelden die, zonder in de details van
D2.3 te treden, een beeld geven van de betekenis van de niveaus zoals binnen STORK gehanteerd.
4/14
Handreiking betrouwbaarheidsniveaus HO&O
Level
Authenticatiemiddel
Registratieproces
1 – Laag
Username/password
Eigen bewering (“self-asserted”). Klikken op
een link in email.
2 – Medium
Twee factor
Kopie paspoort. Registratie op basis van
GBA.
3 – Hoog
Soft certificate
Registratie met identiteitsbewijs en meer
checks.
4 – Zeer
hoog
Smart card uitgegeven
onder overheidstoezicht
Fysiek face-to-face verschijnen.
Uit deze standaarden wordt wel duidelijk dat voor het bepalen van een minimumniveau voor een
dienst, gekeken moet worden naar de informatie die verwerkt wordt door de dienst, en de risico’s die
dit met zich mee brengt. Praktische handvaten voor het inschalen van concrete diensten naar LoA
worden helaas niet gegeven door deze standaarden.
Er zijn, in andere sectoren en in andere landen, concretere sectorspecifieke handreikingen
geschreven die dit het proces voor dienstverleners moeten vergemakkelijken. Voorbeelden hiervan
zijn:
•
De handreiking van het Bureau Forum Standaardisatie [BFS] voor burger-naar-overheid diensten
•
De handreiking Patiëntauthenticatie [NICTIZ] door het platform “Patiënt en eHealth” (opgestart door
Nictiz, i.s.m. Novay en anderen)
•
De Guideline Defining Authentication Requirements van de Canadese overheid [CAN]
Deze handreikingen hebben als inspiratie gediend voor deze handreiking die specifiek is voor de
hoger onderwijs & onderzoekssector (HO&O). Deze handreiking werkt ook op dezelfde manier als de
voorbeelden: De handreiking faciliteert de risico-inschatting voor diensten uit de hoger onderwijs en onderzoek sector in drie stappen:
•
door de sector op te delen in concrete diensten en/of use-cases
•
door criteria vast te stellen over de informatie die verwerkt wordt
•
en door risico-verhogende en -verlagende maatregelen te beschrijven
De lijst van use-cases bepaalt de scope van de handreiking. De scope van deze handreiking omvat de
onderwijs- en onderzoeks ICT systemen en administratieve systemen die bij instellingen en
dienstverleners uit de achterban van SURFnet (het hoger onderwijs en onderzoek) gebruikt worden.
Dit is dezelfde doelgroep waar de referentiearchitectuur voor het hoger onderwijs en onderzoek (de
HORA [HORA]) op van toepassing is, en deze architectuur vormt dan ook in belangrijke mate de basis
van de lijst in Hoofdstuk 3. In andere vormen van onderwijs en onderzoek zullen andere eisen aan
identiteiten gesteld worden, bijvoorbeeld omdat daar bepaalde gevoelige gegevens (denk aan
gegevens over minderjarigen, patiënten, commercieel-concurrentiegevoelige informatie) op manieren
verwerkt wordt waarmee in deze handreiking geen rekening gehouden is.
5/14
Handreiking betrouwbaarheidsniveaus HO&O
De lijst van criteria over de te verwerken informatie bepaalt in eerste instantie de hoogte van het
betrouwbaarheidsniveau. Het inschalen van een concrete dienst is een kwestie van het beantwoorden
van een aantal gesloten vragen om te zien aan welke criteria al dan niet voldaan is. Daarnaast zijn er
nog risico-verhogende of –verlagende maatregelen en omstandigheden die van toepassing kunnen
zijn. Per dienst kan nagegaan worden of zulke maatregelen zijn getroffen dan wel zulke
omstandigheden gelden, en kan besloten worden of deze het betrouwbaarheidsniveau in beperkte
mate moeten verhogen of verlagen.
Basis voor deze handreiking waren twee wisdom-of-the-crowd sessies met vertegenwoordigers van
instellingen uit de SURFnet achterban.
Deze handreiking heeft tot doel om de invoering van minimum LoAs makkelijker te maken. Het is
aannemelijk dat voortschrijdend inzicht, tijdens het implementeren van hogere
betrouwbaarheidsniveaus (zie [SuaaS]), aanpassingen aan deze handreiking noodzakelijk maakt. Ook
in andere sectoren worden de handreikingen regelmatig ge-update. Deze handreiking moet dus vooral
beschouwd worden als eerste versie, en als levend document.
6/14
Handreiking betrouwbaarheidsniveaus HO&O
3
Diensten en usecases
Als basis voor een inventarisatie van diensten en use-cases wordt de referentiearchitectuur HORA
gebruikt. Het document “Referentie-architectuur 20130409” [Greefhorst & Kooy] geeft in het
functiemodel een overzicht van de functies van een instelling voor hoger onderwijs en onderzoek:
•
Onderwijs (o.a. onderwijsontwikkeling, toetsing)
o
•
Onderwijsondersteuning (o.a. werving, roostering, certificering)
Onderzoek (o.a. uitvoering en publicatie)
o
Onderzoeksondersteuning (o.a. administratie, kennisuitnutting)
•
Sturing (o.a. strategie, beleid, verandermanagement)
•
Bedrijfsvoering (o.a. HRM, financiën, inkoop, communicatie)
Onderwijs en onderzoek (inclusief de daarbij horende ondersteuning) zijn specifiek voor de HO&O
sector en vormen de kerntaak van zo’n instelling. Deze twee functionele gebieden worden hieronder
apart behandeld in Sectie 3.1 resp. 3.2. Sturing en bedrijfsvoering zijn niet specifiek voor de sector
maar vallen wel degelijk binnen de scope van deze handreiking, use-cases binnen dit functionele
gebied worden hieronder samengenomen in Sectie 3.3.
De use-cases hieronder zijn besproken in de discussiesessies. Deze use-cases zijn op concreter
niveau geformuleerd dan het functiemodel (namelijk een actor die een concrete actie uitvoert, waarbij
in sommige gevallen concrete informatieobjecten ingezien of gewijzigd worden). Doel is om deze
typische use-cases te kunnen koppelen aan de lijst met criteria in Hoofdstuk 4 zodat geverifieerd kan
worden dat de criteria alle use-cases afdekken en zodat bij een gegeven dienst eenvoudiger bepaald
kan worden aan welke criteria is voldaan.
3.1 Onderwijs
1
1
•
Student schrijft zich in voor een toets / vak / (studie )
•
Student neemt deel aan een online toets (tentamen of leeractiviteit die “meetelt”)
•
Student levert online een opdracht in
•
Student raadpleegt studievoortgang in de elektronische leeromgeving (ELO)
•
Docent raadpleegt / wijzigt studievoortgang van student in de ELO
•
Docent raadpleegt / wijzigt toetsmateriaal
•
Docent/Medewerker raadpleegt / wijzigt toetsresultaat
•
Docent machtigt mede-docent / student-assistent
•
Docent stuurt CV van student naar stage-bemiddelaar
•
Docent raadpleegt SIS
•
Docent wijzigt in SIS
•
Student/Docent raadpleegt rooster
•
Studentendecaan / ExamenCie raadpleegt een dossier
Nederlandse studenten worden via StudieLink geregistreerd, waarbij DigiD gebruikt wordt.
7/14
Handreiking betrouwbaarheidsniveaus HO&O
•
Studentendecaan wijzigt dossier student (medische gegevens)
3.2 Onderzoek
•
Onderzoeker werkt samen (met personen buiten eigen instelling)
•
Onderzoeker publiceert ruwe data (als onderdeel van een open data initiatief)
•
Onderzoeker wijzigt zijn/haar publicatielijst
•
Onderzoeker bereidt een patenteerbare uitvinding voor
•
Onderzoeker reviewt inzendingen voor journal/conferentie
•
Projectleider fiatteert gemaakte uren in extern gefinancierd project (voor bijvoorbeeld de EU)
•
Proefpersoon neemt deel aan onderzoek via een web site
3.3 Sturing en bedrijfsvoering
•
Medewerker raadpleegt concernsysteem (financieel, HRM, logistiek, studentenzaken)
o
•
Medewerker wijzigt gegevens in concernsysteem
o
•
Medewerker ziet ziekmeldingsgegevens in
Medewerker wijzigt rekeningnummer waar salaris gestort wordt
Student/Docent/Medewerker start een beroepsprocedure
8/14
Handreiking betrouwbaarheidsniveaus HO&O
4
Criteria
De lijst van criteria in dit hoofdstuk is gebaseerd op de HORA referentie architectuur [HORA], en met
name de informatieobjecten die daarin beschreven zijn. De HORA bevat naast een functiemodel (dat
in Hoofdstuk 3 gebruikt werd om use-cases te beschrijven) ook een informatiemodel. Het
informatiemodel geeft, binnen het functiemodel, aan welke informatie verwerkt en uitgewisseld wordt
door welke systemen. Objecten die deel uitmaken van dit informatiemodel zijn bovendien
geclassificeerd in termen van Beschikbaarheid, Integriteit en Vertrouwelijkheid (zijn voorzien van een
BIV-score). De beschikbaarheid even buiten beschouwing latend, is bij het verwerken van gegevens
vooral de vertrouwelijkheid (“confidentialiteit”) en de integriteit van gegevens bepalend voor de mate
waarin de identiteit van een gebruiker vastgesteld moet zijn. Alvorens de criteria te presenteren deelt
dit hoofdstuk daarom per functionele categorie (onderwijs, onderzoek, overige) de gevoeligste
2
informatieobjecten uit de HORA in naar confidentialiteit en integriteit .
4.1 Onderwijs
4.1.1 Confidentialiteit
Binnen het onderwijs zijn de informatieobjecten waarvan de confidentialiteit belangrijk is:
•
Toetsmateriaal
•
Toetsresultaat
•
Studievoortgang (in de architectuur “Onderwijsdeelname” genoemd)
•
Persoonsgegevens (in de architectuur “Deelnemer” genoemd)
4.1.2 Integriteit
Binnen het onderwijs zijn de informatieobjecten waarvan de integriteit belangrijk is:
2
•
Persoonsgegevens (in de architectuur “Deelnemer” genoemd)
•
Examenprogramma
•
Toetsmateriaal
•
Toetsresultaat
•
Waardedocument (bijvoorbeeld een diploma)
•
Deelnameregistratie (in de architectuur “Leeractiviteit” genoemd, ook “Stageplaats” valt hieronder)
Hierbij is gebruik gemaakt van document “Referentie-architectuur 20130409[1].xls”, onderdeel van
HORA. De objecten, op het juiste niveau van concreetheid, die H(oog) scoren m.b.t.
V(ertrouwelijkheid) of I(ntegriteit) en die horen bij de functionele categorie worden genoemd. Ook zijn
objecten die M(iddel) scoren maar waarvan in de discussies bevestigd werd dat deze een issue
kunnen zijn.
9/14
Handreiking betrouwbaarheidsniveaus HO&O
4.2 Onderzoek
4.2.1 Confidentialiteit
Binnen het onderzoek zijn de informatieobjecten waarvan de confidentialiteit belangrijk is:
•
Onderzoeksgegevens (resultaten, gevoelig vanwege concurrerende onderzoeksgroepen)
•
Onderzoeksobject (gevoelig want kunnen persoonsgegevens bevatten)
4.2.2 Integriteit
Binnen het onderzoek zijn de informatieobjecten waarvan de integriteit belangrijk is:
•
Onderzoeksgegevens
•
Publicatie
4.3 Sturing en bedrijfsvoering
4.3.1 Confidentialiteit
Binnen sturing en bedrijfsvoering zijn de informatieobjecten waarvan de confidentialiteit belangrijk is:
•
Resultaat (performance van een organisatieonderdeel)
4.3.2 Integriteit
Binnen sturing en bedrijfsvoering zijn de informatieobjecten waarvan de integriteit belangrijk is:
•
Onderwijseenheid
•
Opleiding
•
Resultaat
10/14
Handreiking betrouwbaarheidsniveaus HO&O
4.4 Lijst met criteria
De volgende lijst met criteria is op basis van bovenstaande en de discussiesessies samengesteld.
Waar het om informatieobjecten gaat is gekozen is om de lijst op te delen in “inzien” (1 t/m 6) en
“wijzigen” (7 t/m 14)
1.
Er is sprake van inzage in persoonsgegevens (niet | niet bijzonder | bijzonder)
2.
Er is sprake van inzage in studievoortgang (niet | wel)
3.
Er is sprake van inzage in toetsresultaten (niet | wel)
4.
Er is sprake van inzage in toetsmateriaal (niet | wel)
5.
Er is sprake van inzage in onderzoeksgegevens (niet | wel)
6.
Er is sprake van inzage in onderzoeksobjecten (niet | wel)
7.
Er is sprake van wijzigen van persoonsgegevens (niet | niet bijzonder | bijzonder)
8.
Er is sprake van wijzigen van toetsmateriaal (niet | wel)
9.
Er is sprake van wijzigen van toetsresultaten (niet | wel)
10. Er is sprake van wijzigen van deelnameregistratie (niet | wel)
11. Er is sprake van wijzigen van het examenprogramma (niet | wel)
12. Er is sprake van wijzigen van een waardedocument (niet | wel)
13. Er is sprake van wijzigen van onderzoeksgegevens (niet | wel)
14. Er is sprake van wijzigen van een publicatie (niet | wel)
15. Dienst heeft mogelijk grote gevolgen van economisch belang (geen | gering | groot)
16. Dienst heeft mogelijk grote gevolgen van publiek belang (geen | gering | groot)
11/14
Handreiking betrouwbaarheidsniveaus HO&O
De tabel hieronder laat zien hoe de lijst van criteria aan betrouwbaarheidsniveaus gekoppeld wordt.
Hierbij moet de tabel als volgt geïnterpreteerd worden: wanneer een waarde van ten minste één van
de genoemde criteria ten hoogste de in de tabel vermelde waarde heeft, dan moet minstens de
vermelde LoA geëist worden.
Criteria
Criteria waardes
LoA
1. t/m 6. Inzage *
7. t/m
14.
Wijzigen *
15.
16.
Economisch belang
Publiek belang
niet
-
1.
2.
3. t/m 6.
7. t/m
14.
15.
16.
Inzage persoonsgegevens
Inzage studievoortgang
Inzage *
Wijzigen *
Economisch belang
Publiek belang
niet bijzonder
wel
niet
niet
geen
geen
1
1.
2.
3.
4. t/m 6.
7. t/m
14.
15.
16.
Inzage persoonsgegevens
Inzage studievoortgang
Inzage toetsresultaten
Inzage *
Wijzigen *
Economisch belang
Publiek belang
niet bijzonder
wel
wel
niet
niet
gering
gering
2
1.
2.
3. t/m 4.
5. t/m 6.
7. t/m
14.
15.
16.
Inzage persoonsgegevens
Inzage studievoortgang
Inzage toets*
Inzage onderzoek*
Wijzigen *
Economisch belang
Publiek belang
bijzonder
wel
wel
wel
wel
groot
groot
3
niet
geen
geen
12/14
Handreiking betrouwbaarheidsniveaus HO&O
5
Risicoveranderende factoren
De risico verlagende en verhogende factoren in dit hoofdstuk zijn het resultaat van de
discussiesessies. Het vereiste betrouwbaarheidsniveau kan hiermee naar boven dan wel naar
beneden bijgesteld worden in situaties waar de criteria uit Hoofdstuk 4,Error! Reference source not
found. in de praktijk te star zijn.
Of deze factoren van toepassing zijn op een dienst van een dienstverlener moet van geval tot geval
bekeken worden. Van belang is om, als in specifieke gevallen gebruik wordt gemaakt van deze
factoren, de keuze en verantwoording van te voren schriftelijk vast te leggen.
De meeste factoren hieronder zijn, na analyse van de betreffende dienst, van te voren vast te stellen.
Sommige van de factoren betreffen een dynamisch aspect van de dienst (bijvoorbeeld de factor over
context informatie). De omstandigheden die moeten gelden voor het toepassen van de laatste
categorie zullen na verloop van tijd (van gebruik van de dienst) pas goed vastgesteld kunnen worden.
5.1 Risicoverlagende factoren
•
Gebruiker heeft inzage in laatste inlog (en/of gedetailleerdere transacties)
•
Gebruiker krijgt een bevestiging van relevante transacties via een ander kanaal
•
In het vervolgproces zal de dienstverlener informatie krijgen over de gebruiker die los van de dienst de
betrokkenheid en toestemming van de gebruiker bewijst
•
In het vervolgproces zal de gebruiker zich met hoog betrouwbaarheidsniveau moeten authenticeren
richting dienstverlener (bijvoorbeeld fysiek tentamen afleggen, waarbij een identiteitsbewijs
gecontroleerd kan worden)
•
Herstel van eventuele schade (remediation) is makkelijk
5.2 Risicoverhogende factoren
•
Er zijn motieven voor identiteitsfraude bij de gebruiker (bijvoorbeeld een andere, slimmere, student
tentamen laten doen)
•
Er is sprake van bekende personen, waardoor persoonsinformatie die in principe niet heel gevoelig is
waardevoller wordt voor een aanvaller
•
De schaal waarop door een aanvaller identiteitsfraude gepleegd kan worden is zeer groot
•
Context informatie (tijd van inloggen, IP, geolocatie etc) wijkt sterk af van normale patronen
13/14
Handreiking betrouwbaarheidsniveaus HO&O
6
Referenties
[BFS]
Forum Standaardisatie, Betrouwbaarheidsniveaus voor authenticatie bij elektronische
overheidsdiensten – een handreiking voor overheidsorganisaties, versie 2, 2013
[CAN]
Treasury Board of Canada Secretariat, Guideline on Defining Authentication Requirements ,
November 2013
[HORA]
Greefhorst, D., Kooy, R., Referentie-architectuur voor hoger onderwijs en onderzoek (versie 16
april 2013), April 2013
[ISO29115]
ISO/IEC 29115, Information technology — Security techniques — Entity authentication assurance
framework, April 2013
[NICTIZ]
Platform patient en eHealth (Nictiz et al.), Handreiking Patientauthenticatie, versie 1.0, September
2013
[NIST]
NIST Special Publication 800-63-1, Electronic Authentication Guideline, December 2011
[STORK]
Hulsebosch, B. et al., Quality Authenticator Scheme, STORK 1.0 deliverable 2.3, Maart 2009
[SuaaS]
Oostdijk et al., Step-up Authentication-as-a-Service - A study of the architecture and processes ,
November 2012
3
4
3
Beschikbaar http://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=26262.
4
Zie ook http://www.wikixl.nl/wiki/hora/index.php/Bestanden.
5
Beschikbaar via http://www.surfnet.nl/Documents/rapport_Step-up_Authentication-as-aService_Architecture_and_Procedures_final.pdf.
5
14/14