Donderdag 27 juli 2017

Websites met SSL/TLS-certificaten: fijn of pure schijn?

Inleiding

Websites worden steeds vaker uitgerust met een SSL/TLS-certificaat.¹ https://www.netcraft.com/internet-data-mining/ssl-survey/, laatst geraadpleegd 3/10/2016. Met name de pagina’s waar persoonsgegevens worden ingevuld, worden van een dergelijke beveiliging voorzien. Deze beveiligingseis is afgeleid uit artikel 13 van de Wet bescherming persoonsgegevens (Wbp). In artikel 13 Wbp staat omschreven dat de verantwoordelijke voor het verwerken van persoonsgegevens passende technische en organisatorische maatregelen dient te treffen teneinde de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Wat als passende technische en organisatorische maatregelen dienen te gelden, hangt af van de nieuwste technische en psychologische inzichten. In dit artikel wordt – aan de hand van de huidige inzichten – beoordeeld in welke mate een SSL/TLS-certificaat als passende maatregel kan worden aangemerkt.

1.0 De functie van het SSL/TLS-certificaat

Een offline vergelijking verduidelijkt in sommige opzichten de online-situatie. In dit artikel zal de vergelijking middels een fictief eeuwenoud familiebedrijf – dat privacy en beveiliging hoog in het vaandel heeft – geschieden. Vergelijk hieronder de ontvangstprocedure van klantvragen:

1916 – De Koekenbakkers N.V.

De baliemedewerker overhandigt de klant een formulier. Dit formulier vraagt de klant persoonsgegevens in te vullen, het doel van het bezoek kenbaar maken en een vingerafdruk achter te laten. De brief met vragen dient de klant bij het formulier te voegen en aan de baliemedewerker te overhandigen. De medewerker deponeert de documenten in een draagbare kluis, noteert de afdeling van bestemming en plaatst de kluis in de postbak. Alleen de baliemedewerker en de desbetreffende afdeling beschikken over de kluiscodes.

2016 – The Cookie Bakers N.V.

De server van het bedrijf is uitgerust met een SSL/TLS-certificaat. De website van het bedrijf realiseert daarom een HTTPS-verbinding in plaats van een HTTP-verbinding. Op de website staat een contactformulier waar de klant persoonsgegevens moet invullen en de vragen kenbaar kan maken. Als de klant op de verzendknop klikt, wordt het bericht automatisch voorzien van het IP-adres van de klant en versleuteld naar de server van het bedrijf gestuurd. De baliemedewerker ontvangt het bericht en zorgt ervoor dat deze intern naar de juiste afdeling wordt verzonden.

De procedure uit 2016 toont veel gelijkenissen met de procedure uit 1916: het bedrijf identificeert en authenticeert de klant en zorgt voor een versleutelde verzending van de inhoud. Een klant van dit bedrijf kan er op rekenen dat de communicatie vertrouwelijk blijft, of toch niet?

2.0 De beveiligingsniveaus

Een beveiligingsprotocol dient rekening te houden met verschillende beveiligingsniveaus.²J.M. Kizza, Guide to Computer Network Security, London: Springer-Verlag 2015, p. 18-22. Het niet in acht nemen van één van de niveaus kan immers tot gevolg hebben dat de beveiliging ondermaats is. In dit artikel komen enkele niveaus aan bod. Een volledige weergave van de niveaus wordt beschreven in het boek Guide to Computer Network Security van Joseph Mizza Kizza.³J.M. Kizza, Guide to Computer Network Security, London: Springer-Verlag 2015, p. 359-368.

2.1 De verzender (de klant)

Een versleuteld bericht is slechts op berichtniveau beveiligd. Als het transport van het versleutelde bericht niet in orde is, is het bericht vooralsnog kwetsbaar: het bericht is makkelijker te onderscheppen voor onbevoegden en de onbevoegden hoeven – na het onderscheppen – slechts te zoeken naar de sleutel. Het transport van het bericht dient daarom via een deugdelijk beveiligde verbinding te geschieden.

Een transportbeveiliging is onder te verdelen in verschillende niveaus: de router en het netwerk.

Een WiFi-router met standaardinstellingen of géén wachtwoord is eenvoudiger te kraken en doet daardoor afbreuk aan de beveiliging. Een onbevoegde kan toegang zoeken tot de router en het dataverkeer onderscheppen.

De netwerkbeveiliging heeft betrekking op de beveiliging van de weg die het versleutelde bericht moet afleggen alvorens het de beoogde ontvanger heeft bereikt. Een dergelijke beveiliging kan worden gerealiseerd door VPN-technologie⁴Een VPN is een Virtual Private Network. Er bestaan meerdere VPN-technieken maar in de basis komt het op het volgende neer: VPN zorgt ervoor dat de internetverbinding een beveiliging krijgt op transportniveau. De gegevens die de computer via het internet verstuurt, worden in een VPN-tunnel geplaatst. De VPN-tunnel is voorzien van versleuteling waardoor enkel toegangsgerechtigden kennis kunnen nemen van de gegevens die via de tunnel worden verzonden..

Het volstaan met een vertrouwde koeriersdienst (WiFi-router) is derhalve niet toereikend: ook de weg van de koerier (het netwerk) dient vrij te zijn van onbevoegden.

Deze invalshoek van transportbeveiliging heeft tot gevolg dat de klant maatregelen dient te treffen. Indien een klant de benodigde veiligheidsmaatregelen niet neemt, biedt de door het bedrijf aangeboden SSL/TLS-versleuteling geringe waarborgen voor het veilig versturen van de inhoud. Als de verantwoordelijkheid dienaangaande zou verschuiven naar het bedrijf, mag worden aangenomen dat het bedrijf zal moeten investeren in het transport. En zelfs in dat geval kan een binnengedrongen hacker in de computer van de klant altijd nog het scherm van de klant monitoren en zodoende de ingevoerde gegevens waarnemen.

1916 – De Koekenbakkers N.V.

Begin 1900 zou de klant van Koekenbakkers N.V. zelf verantwoordelijkheid hebben gedragen voor de beveiliging van de brief totdat deze door de baliemedewerker in een draagbare kluis zou worden gedeponeerd.

2016 – The Cookie Bakers N.V.

Anno 2016 wordt de draagbare kluis bij de klant – via de computer – thuis afgeleverd. De klant heeft de verantwoordelijkheid gekregen om er zorg voor te dragen dat de kluis per beveiligde weg en betrouwbare koeriersdienst wordt verzonden.

2.2 De ontvanger (het bedrijf)

Bedrijven maken steeds vaker gebruik van de VPN-technologie en hebben veelal IT’ers in dienst die een goede beveiliging van de router weten te garanderen.⁵T. Janevski, NGN Architectures, protocols and services, West Sussex: John Wiley & Sons Ltd. 2014, p. 72-73. Dit is echter nog geen standaard voor de gemiddelde klant, hetgeen zeker de aandacht van de bedrijven verdient. Daarnaast zijn de beveiligingsniveaus die bedrijven in acht kunnen nemen nog niet uitgeput na het in gebruik nemen van een SSL/TLS-certificaat.

2.2.1 Consumentenbewustzijn

Bedrijven kunnen een bijdrage leveren aan het consumentenbewustzijn: bedrijven kunnen de consumenten aan voorwaarden onderwerpen die onder meer inhouden dat de consument met een beveiligde router toegang zoekt tot de webpagina en de computer uitrust met een goed antivirusprogramma.

“Degene die omgaat met risico’s is gehouden om actief te zoeken naar mogelijke gevaren en problemen.”⁶J. Spier e.a., Verbintenissen uit de wet en schadevergoeding, Deventer: Kluwer 2015, p. 51.

Naast de informatie- en zorgplichtfunctie van een dergelijke voorwaarde, levert het ook interessante vraagstukken op betreffende de aansprakelijkheid. De aansprakelijkheidsvraagstukken worden in dit artikel niet behandeld.

2.2.2 Medewerkersbewustzijn

Medewerkersbewustzijn is minstens zo belangrijk als consumentenbewustzijn: door menselijke fouten ontstaan de meeste beveiligingsproblemen.⁷https://hbr.org/2015/09/cybersecuritys-human-factor-lessons-from-the-pentagon, laatst geraadpleegd, 02/10/2016.⁸M.E. Withman, ‘Enemy at the gate: threats to information security’, COMMUNICATIONS OF THE ACM 2003, 8, p. 91-95. De medewerkers dienen in ieder geval:

Kennis te hebben over mails met links naar kwaadwillende software (bijvoorbeeld ransomware);⁹E. Tjong Tjin Tai & B. Koops, ‘Zorgplichten tegen cybercrime’, NJB 2015, 742, p. 1066.

Kennis te hebben over softwareprogramma’s die data verzamelen en wellicht meer machtigingen op de computer hebben dan wenselijk en/of veilig moet worden geacht;

De onbemande computers te locken (WINDOWS-toets + L);

Zich ervan te vergewissen dat de gekozen toegangswachtwoorden niet te eenvoudig zijn en daardoor een beveiligingsrisico in het leven kunnen roepen.

3.0 Het antwoord

Onder 2.0 heeft het bericht van de klant als uitgangspunt gediend om de beveiligingsniveaus toe te lichten. Na het volgen van de bovenstaande beveiligingsmaatregelen, is de kans toegenomen dat het bericht van de klant slechts door de beoogde ontvanger zal worden gelezen. Toch betreffen deze maatregelen slechts het topje van de ijsberg.  Het bericht van een klant zal, in de meeste gevallen, door het ontvangende bedrijf worden opgeslagen en een reactie krijgen. De opslag en de reactie dienen – evenals de ontvangstmogelijkheid van het bericht – van de nodige beveiligingsmaatregelen te worden voorzien.

Conclusie

Een SSL/TLS-versleuteling an sich is ontoereikend om te kunnen spreken van een deugdelijke beveiliging. De huidige technische inzichten vereisen dat, ingeval artikel 13 Wbp van toepassing is, meerdere beveiligingsniveaus in acht zijn genomen. Het uitrusten van de server met een SSL/TLS-versleuteling is derhalve een eerste stap die de verantwoordelijke dient te nemen teneinde één van de beveiligingsniveau’s op een deugdelijke wijze in te richten. Concluderend kan worden opgemerkt dat een SSL/TLS-versleuteling op zijn minst fijn is. Tegelijkertijd mag het op geen enkele wijze de schijn wekken dat het een algehele deugdelijke beveiliging biedt.