De DigiNotar-affaire toont het risico van het leunen op één of een beperkt aantal vertrouwde partijen duidelijk aan. DigiNotar laat echter niet alleen het falen van het systeem van certificate authorities zien, maar ook een hele vertrouwensketen daarachter, en het toezicht daarop.
DigiNotar was een partij die volledig vertrouwd werd door de overheid, en waarop veel aangesloten (overheids)systemen leunden. Zulk vertrouwen vormt een afhankelijkheid en daarmee een risico. Door een inbraak bij DigiNotar kon en kan de vertrouwelijkheid van met de overheid uitgewisselde gegevens niet gegarandeerd worden. De oorzaak is dat veel systemen voor hun beveiliging afhankelijk zijn van één en dezelfde partij.
Toezicht en auditing (door bedrijven als PriceWaterhouseCoopers e.a.) hebben bij DigiNotar ook duidelijk gefaald. Het "high trust" model voor toezicht wat door de Opta wordt toegepast, waarin wordt uitgegaan van "het goede in de mens" (NRC Handelsblad, 6 sept. 2011, pagina 2), is natuurlijk onacceptabel waar het beveiliging betreft. Zeker voor mission-critical systemen en/of overheidsssytemen.
Als ik als beveiligingsonderzoeker uit zou gaan van "high trust" zou dat niets waard zijn. Je moet er in het ontwerp van een systeem vanuit gaan dat het ergens een keer misgaat. Anders deugt je beveiligingsmodel niet. Dit geldt ook voor het stelsel van toezicht. Dit uitgangspunt moet niet alleen door beveiligingsonderzoekers worden gehanteerd, maar ook door de overheid.
De DigiNotar-affaire laat duidelijk zien waarom je moet voorkomen dat een systeem afhankelijk is van een of enkele enkele partijen of componenten.
Bovenstaande les is ook van toepassing op het Elektronisch Patiëntendossier (EPD). Teveel vertrouwen in een centrale component (het Landelijke Schakelpunt, LSP) vormt daar een risico. Als er een fout optreedt in de beveiliging waardoor een aanval van buitenaf of van binnenuit mogelijk is, kan er een inbraak in het LSP plaatsvinden. Doordat iedere aangesloten partij op het juiste functioneren van het LSP vertrouwt, is de impact van zo'n eventuele inbraak (net als bij DigiNotar) veel te groot.
Doordat het systeem aantrekkelijk is voor aanvallers (bijvoorbeeld om gericht te zoeken naar informatie waarmee iemand gechanteerd kan worden) en doordat het jarenlang continu moet functioneren, is de kans dat het misgaat reëel aanwezig.
Het risico op misbruik wordt bovendien vergroot doordat het LSP op zijn beurt weer afhankelijk is van de beveiliging van alle erop aangesloten systemen. Dit zijn de systemen van zorgverleners - de zogeheten "Goedbeheerde Zorgsystemen" ofwel GBZ-en. En de zorgverleners en medewerkers die de GBZ-en gebruiken worden indirect ook nog eens allemaal vertrouwd. Dat zijn heel veel partijen en systemen. Al die systemen worden gevalideerd door onafhankelijke toetsing, certificering, en auditing.
Net als bij DigiNotar, bieden audits, certificeringen en testen geen garantie tegen inbraken. Sterker nog, ze bieden schijnveiligheid als je hierop leunt voor de beveiliging van een systeem. Ook aanvallen van binnenuit zijn reëele risico's. Het nettoresultaat is dat het "vertrouwensmodel" van het EPD veel te optimistisch is ingesteld. De architectuur van het EPD bevat te veel centrale componenten en partijen waarvan de beveiliging afhankelijk is.
De les is simpel. Probeer gecentraliseerde systemen te vermijden. Zeker als het ook anders kan.
De les voor het Elektronisch Patiëntendossier:
De meeste communicatie in de zorg vindt regionaal plaats. Waarom dan geen regionale schakelpunten gebruiken in plaats van één landelijke, zoals ook de Eerste Kamer wil? Je kunt de software die is ontwikkeld voor het LSP verkopen, of zelfs weggeven als open source. Daarmee kunnen kleinschalige regionale schakelpunten worden ontwikkeld. Te duur? Als straks met het LSP gebeurt wat nu met DigiNotar is gebeurd, ligt alle communicatie in de zorg plat - in één klap voor alle patiënten. Dan ben je verder van huis. En een centraal systeem en het benodigde toezicht daarop is ook duur. Bovendien, waarom zou je landelijk gegevens uitwisselen als het ook lokaal (of regionaal) kan?
Lees het verslag van de expertmeeting in de Eerste Kamer uit 2010 voor interessante achtergrondinformatie.
Interessant is ook de brief die het ministerie van VWS aan mij schreef. Deze brief werd ook meegestuurd als antwoord op kamervragen van D'66 naar aanleiding van de resultaten van mijn onderzoek naar de beveiliging van het EPD in 2010. Het ministerie wees op pagina 2 van deze brief op audits, testen, en certificering om de veiligheid van het EPD aan te tonen.
Echter, als toezicht en auditing bij een bedrijf wiens core-business beveiliging en vertrouwen is (DigiNotar) al niet werkt, hoe moet dat dan ooit werken bij een complex systeem zoals het EPD, dat ook nog eens veel grootschaliger is? Ik schreef hier eerder dit over.
En hoe moet toezicht überhaupt vorm krijgen onder een beperkt budget bij een private doorstart van het EPD zonder overheidsfinanciering of -bemoeienis?
DigiNotar zou een belangrijk signaal moeten zijn om niet langer blind te varen op toezicht of de competentie van bedrijven om de beveiliging goed in te richten. Oplossingen moeten in het ontwerp van de systemen gezocht worden. Alleen zo kan het effect van eventuele fouten of inbraken beperkt worden.
DigiNotar moet een signaal aan de overheid zijn om te stoppen met het ontwerpen en uitrollen van systemen waarin teveel systemen en burgers afhankelijk worden gemaakt van één component. Of van één 'authority' of 'trusted third party'.
Algemene lessen van het DigiNotar debacle:
Het devies is: diversifieer software, componenten, functies, en 'autoriteiten' (zoals trusted third parties). Zo ontstaat een inherente spreiding van risico's. Als gevolg blijft de schade die door het falen van een van die componenten of autoriteiten kan ontstaan beperkt. Bij Certificate Authorities (CA's) betekent dit: gebruik meerdere CA's in plaats van een, al zullen ook dan risico's bestaan.
Maar de les is dus breder dan alleen CA's. Heel veel systemen plaatsen teveel vertrouwen in één centrale component of autoriteit, waarbij de overheid dit vertrouwen meestal verantwoordt door te refereren naar onafhankelijk toezicht en regelmatige (beveiligings)audits op het systeem. Vaak worden ten onrechte de verkeerde conclusies aan dergelijke audits en toetsen verbonden: in de regel wordt het ontwerp zelf niet beoordeeld.
Risicospreiding is dan ook een belangrijke reden om voor decentrale, regionale netwerken te pleiten, in plaats van het Landelijke Schakelpunt (LSP). Een falen van één van deze regionale systemen heeft namelijk een veel kleinere impact wanneer deze los van elkaar functioneren, en niet afhankelijk zijn van elkaar of van een of enkele centrale componenten. Met een minder centrale architectuur ben je ook minder afhankelijk van (inherent moeilijk) toezicht op zo'n systeem.
Samenvattend:
DigiNotar maakt de kwetsbaarheid zichtbaar van een centraal georganiseerd systeem, met als uitgangspunt vertrouwen en goed toezicht. Aangetoond is dat toezicht geen garantie voor een goede beveiliging biedt, en dat de impact van compromittering van een centrale component of vertrouwde partij groot is. De gevolgen zijn voelbaar in alle afhankelijke systemen hebben mogelijk gevolgen voor alle opgeslagen persoonsgegevens.
De les voor het EPD: vorm het systeem - ook naar wens van de Eerste Kamer, en van Privacy First - om naar kleinschalige regionale schakelpunten op basis van moderne techniek of verbeterde regionale techniek, in plaats van het gebruik van een enkel landelijk schakelpunt.
Een groot aantal onafhankelijk opererende en niet aan elkaar gekoppelde regionale systemen voor de uitwisseling van gegevens geeft veel minder risico op compromittering van medische gegevens dan één centrale component. Tussen of naast regionale systemen kan vervolgens altijd met "push" verkeer (bijv. versleutelde berichten, ter vervanging van fax) direct tussen artsen worden gecommuniceerd.
Dit is veel veiliger dan alle dossiers in Nederland via één landelijk schakelpunt direct opvraagbaar te maken voor elke arts die aangeeft een behandelrelatie met een patiënt te hebben.
Guido van 't Noordende, 21 september 2011.
PS: NRC-journalist Marc Chavannes karakteriseert het systeem van toezicht op een rake manier. Deze brief van hackers aan de overheid trouwens ook.
PS2: Interessant genoeg is in Engeland net besloten om de centrale aansturing van het National Programme for IT (NPfIT), het Engelse EPD, los te laten. Men wil voorlopig verder op regionale schaal.