Nieuwe ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)
De Autoriteit Persoonsgegevens (AP) vraagt aandacht voor de vernieuwde versie van de ICT-beveiligingsrichtlijnen over Transport Layer Security (TLS) van het Nationaal Cyber Security Centrum (NCSC). De nieuwe versie is gepubliceerd op 23 april 2019. Organisaties die gebruik maken van een ‘uit te faseren’ TLS-configuratie moeten deze configuratie op termijn vervangen. Anders lopen organisaties het risico dat zij niet voldoen aan de beveiligingseisen die volgen uit de AVG.
TLS is een protocol dat wordt gebruikt om de inhoud van het netwerkverkeer te versleutelen. TLS wordt bijvoorbeeld gebruikt voor het versleutelen van webverkeer (https). Aanvallen op het TLS-protocol zijn continu in ontwikkeling. Daarom is het noodzakelijk gebruik te maken van een toekomstvaste TLS-configuratie.
NCSC
Het NCSC stelt richtlijnen op om organisaties te helpen kiezen tussen de mogelijke instellingen van TLS en zo tot een veilige configuratie te komen. In de vernieuwde versie van deze richtlijnen worden de instellingen van TLS verdeeld in 4 beveiligingsniveaus: onvoldoende, uitfaseren, voldoende en goed.
Risico
De AP benadrukt dat organisaties een risico lopen als zij op dit moment een TLS-configuratie gebruiken met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’. Er verschijnen namelijk geregeld nieuwe of verbeterde aanvallen tegen TLS. In de nabije toekomst vallen deze instellingen daarom mogelijk onder het beveiligingsniveau ‘onvoldoende’.
De AP raadt organisaties aan na te gaan of zij gebruiken maken van TLS-configuraties met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’. Als dat zo is, moeten zij een risicoanalyse uitvoeren en eventueel maatregelen nemen om de risico’s te beheersen.
Tevens dienen de voorwaarden en de termijn waarna de uit te faseren configuratie niet meer wordt gebruikt te worden gedocumenteerd.
De AP beveelt aan met deze uit te faseren TLS-configuraties proactief aan de slag te gaan en deze op termijn aan te passen naar een beveiligingsniveau ‘voldoende’ of ‘goed’. Anders lopen organisaties het risico dat zij niet voldoen aan artikel 24 en 32 van de AVG.
Informatie
Heeft uw organisatie de ICT-dienstverlening uitbesteed? Benader dan uw leverancier. Voor meer informatie en hulp met het kiezen van een toekomstvaste TLS-configuratie, zie de ICT-beveiligingsrichtlijnen voor transport layer security op de website van het NCSC.
Update januari 2021
In januari 2021 publiceerde het NCSC een update op de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS).