7 december 2017

Toegang tot documenten

image for Toegang tot documenten image

In overheidsorganisaties creëren medewerkers veel documenten. Ook bewerken zij documenten en gebruiken zij informatie uit bestaande documenten van de organisatie (het archief). Om de toegang tot al die documenten efficiënt te laten verlopen, kiezen de meeste organisaties voor centrale opslag van en toegang tot documenten via een gespecialiseerd systeem. Een systeem dat niet alleen toegang biedt tot de actuele digitale documentenverzameling maar ook tot de archiefdocumenten die het geheugen van de organisatie vormen, wordt als ideaal gezien.

In overheidsorganisaties creëren medewerkers veel documenten. Ook bewerken zij documenten en gebruiken zij informatie uit bestaande documenten van de organisatie (het archief). Om de toegang tot al die documenten efficiënt te laten verlopen, kiezen de meeste organisaties voor centrale opslag van en toegang tot documenten via een gespecialiseerd systeem. Een systeem dat niet alleen toegang biedt tot de actuele digitale documentenverzameling maar ook tot de archiefdocumenten die het geheugen van de organisatie vormen, wordt als ideaal gezien. Dergelijke informatiesystemen hebben fraaie namen die het doel goed weergeven zoals Document Management Systeem (DMS), Record Management Applicatie (RMA) en Enterprise Content Management Systeem (ECM).

De toegang tot een informatiesysteem voor documenten is met goede redenen onderworpen aan toegangscontrole. In het systeem zijn immers de documenten van de organisatie opgenomen en niet elk document is voor ieders ogen bedoeld of mag door iedereen gewijzigd worden. Daarom moet het systeem exact weten wie er toegang vraagt (authenticatie) en wat de bevoegdheden van die persoon zijn (autorisatie).
Het feit dat die toegangscontrole er is en dat die controle eenduidig is geregeld, is een belangrijk argument voor het gebruik van één systeem voor alle documenten.

Het traditionele inloggen, beperkte veiligheid
Het belang van authenticatie en autorisatie in systemen voor documenten staat vast. In een wereld die steeds hogere eisen stelt aan informatiebeveiliging, is het opmerkelijk dat de toegangscontrole vaak al decennialang op dezelfde manier wordt uitgevoerd. Een medewerker logt in met een code en een wachtwoord. Aan de hand van een tabel met groepen en toegekende rechten in het systeem wordt vervolgens bepaald tot welke gebruikersgroepen de medewerker behoort en wat die medewerker in het systeem mag.

Traditioneel is de taak voor het autoriseren van gebruikers neergelegd bij de applicatiebeheerder van het informatiesysteem voor documenten. Die applicatiebeheerder is nog al eens een materiedeskundige op het gebied van documentenbeheer, bijvoorbeeld een DIV’er met technische belangstelling. Een systematisch plan voor het autoriseren ontbreekt in de meeste gevallen. De applicatiebeheerder bepaalt de toegang tot documenten op basis van steeds veranderende wensen/eisen van teams of zelfs van individuele gebruikers. Ook is er vaak geen alles omvattend overzicht van de in de loop der tijd toegekende rechten. Als gevolg daarvan is het niet mogelijk om autorisaties systematisch aan te passen aan veranderingen in de organisatie. Zo kan het gebeuren dat gebruikers die al jaren geleden vertrokken, nog steeds toegang hebben tot het systeem. Dat geldt ook voor adviseurs en ondersteuners van de leverancier van het informatiesysteem die assisteren bij het installeren en onderhouden van het systeem in een organisatie. Die hebben zichzelf rechten toegekend als een soort superuser zonder dat de organisatie daar weet van heeft, laat staan daar beleid op voert.

Over de veiligheid van wachtwoorden valt ook wel iets te zeggen. Een wachtwoord en een gebruikersnaam zijn in een privéomgeving relatief makkelijk te beheren, maar een kantooromgeving stelt andere eisen. Gebruikersnamen worden meestal volgens een bepaalde vaste systematiek opgebouwd, bijvoorbeeld de achternaam gevolgd door een of meer voorletters. Die systematiek is bij iedereen in de organisatie bekend. De beveiliging moet alleen van het unieke wachtwoord komen. Daarom kiezen veel ICT-beheerders ervoor periodiek, bijvoorbeeld maandelijks, het wachtwoord te laten vernieuwen. Dat lijkt veilig, maar in de praktijk leidt dit er regelmatig toe dat gekozen wordt voor een eenvoudig wachtwoord gecombineerd met een eenvoudig ophogingsmechanisme. In januari wordt het wachtwoord bijvoorbeeld ‘partnernaam01’, in februari ‘partnernaam02’ enzovoorts. Dergelijke wachtwoorden laten zich eenvoudig raden.

Daar komt nog bij dat gebruikers zelf vaak bijzonder slordig zijn met inloggegevens. Als er een nieuwe of tijdelijke medewerker komt, gebeurt het niet zelden dat die al vast mag werken met de inloggegevens en het wachtwoord van een ander (soms zelfs de gegevens van een leidinggevende met veel meer rechten dan eigenlijk zou moeten). Ook de praktijk van notitieboekjes en tekstdocumenten waarin het wachtwoord van de maand genoteerd staat, lijkt onuitroeibaar.

Logische toegangsbeveiliging
Het nieuwe autoriseren zou moeten uitgaan van integraal beleid op het gebied van informatiebeveiliging. Zo’n aanpak van informatiebeveiliging is onder meer bepleit in de Baseline Informatiebeveiliging Rijksoverheid (BIR) en de Baseline Informatiebeveiliging Gemeenten (BIG). De invulling van die baseline voor gemeenten is uitgewerkt in een uitgave van KING, het kwaliteitsinstituut voor Nederlandse gemeenten getiteld: ‘Beleid logische toegangsbeveiliging’.1 In dit document wordt gesproken over logische toegangsbeveiliging als: “het geheel aan maatregelen welke tot doel hebben, de toegang tot gegevens en informatiesystemen te beheersen zodat gegevens, informatiesystemen en resources worden beschermd tegen ongeautoriseerde acties.”

Logisch toegangsbeheer is een aanpak voor de hele organisatie, die gestoeld is op drie pijlers, namelijk gebruikersbeheer, toegangsbeheer en functiescheiding. Gebruikersbeheer regelt het aanvragen, wijzigen en verwijderen van gebruikers. Toegangsbeheer regelt hetzelfde voor de autorisaties en functiescheiding zorgt ervoor dat de handelingen voor het gebruikersbeheer en het toegangsbeheer worden gecontroleerd door andere medewerkers dan die de handelingen uitvoeren.

De beveiliging in logisch toegangsbeheer richt zich op alle ICTcomponenten zoals computers en de afzonderlijke informatie systemen, maar ook op de toegang tot gebouwen. De toegang tot het informatiesysteem voor documenten en alle informatie die in dat systeem is opgeslagen, wordt daarmee deel van de invulling van het integrale beleid voor informatie beveiliging.
Logische informatie beveiliging kan het eenvoudigst worden gerealiseerd als er een relatief beperkt aantal informatiesystemen is.
In organisaties waar nog niet alle documenten worden opgeslagen in één systeem zal de roep om een betere informatie beveiliging waarschijnlijk als vanzelf leiden naar de behoefte aan een integraal DMS, RMA of ECM waarin die informatie is opgeslagen.
Het zal duidelijk zijn dat veel organisaties nog ver af zijn van het inrichten van een samenhangende logische informatiebeveiliging. De benodigde deskundigheid zal nog moeten worden opgebouwd onder leiding van een CISO (Chief Information Security Officer). Er zullen vastgelegde en beschreven procedures moeten komen voor:

  • de uitgifte van rechten, 
  • het muteren van rechten, 
  • het opschorten en intrekken van gebruikersidentificaties,
  • het intrekken van rechten. 

Bovendien zal er een voorziening en een procedure moeten komen voor het controleren van de wijze waarop bovengenoemde procedures worden uitgevoerd. Het meeste werk gaat zitten in het opbouwen van een autorisatiematrix. Toch is die nodig om overzicht te houden op gebruikers en hun rechten. Als een organisatie niet exact weet welke rechten aan wie zijn uitgegeven kunnen veranderingen in de organisatie niet goed worden bijgewerkt in de autorisaties.

Rol van de applicatiebeheerder bij logische informatiebeveiliging
De traditionele rol van de applicatiebeheerder bij de toegangs beveiliging van het informatiesysteem voor documenten zal bij implementatie van deze aanpak fors veranderen. Het kan heel goed zijn dat de applicatiebeheerder de autorisaties nog wel vastlegt, maar het systematisch vastleggen van de eisen die aan de beveiliging worden gesteld terechtkomt bij een deskundige op het gebied van informatiebeveiliging. Dat lijkt mij een goede zaak net als het invoeren van controles op het uitvoeren van beveiligingsbeleid. Zo kunnen informatielekken worden voorkomen.

Inloggen met biometrie
Logische informatiebeveiliging zorgt voor een betere systematiek van de beveiliging, maar het inloggen met gebruikers naam en wachtwoord wordt er niet per definitie mee vervangen.

Toegangscontrole kan voor de gebruiker een stuk betrouwbaarder en eenvoudiger worden gemaakt met behulp van biometrie. Biometrie is het identificeren van een persoon op basis van unieke lichaamskenmerken. Iedereen kent het unieke patroon van lijnen dat samen een vingerafdruk vormt, maar ook de menselijke iris heeft een uniek lijnenpatroon. Dat geldt zelfs voor de irissen van eeneiige tweelingen.

Beveiligingscontrole met biometrie bestaat al op kleine schaal in overheidsland, maar richt zich dan meestal op de controle tot de toegang van een gebouw door middel van een vingerafdruk. In smartphones, de apparaten waarin heel veel geld voor technologische ontwikkeling wordt gestoken, is biometrie recentelijk aan een stevige opmars begonnen. Dat fabrikanten nog niet helemaal weten welke kant het op moet gaan, blijkt uit het feit dat ze momenteel zo veel mogelijk methodes van biometrie ondersteunen, zoals gezichtsherkenning, irisscan en vingerafdruk. Irisscan analyseert een lijnenpatroon op basis van een camera. Vingerafdruk doet hetzelfde met een aparte vingerafdrukscanner.
Het gebruik van een irisscan gold tot voor kort als de meest betrouwbare methode, maar Apple claimt met zijn nieuwste IPhone X dat zijn gezichtsherkenning het betrouwbaarst is. Voor zowel irisscan als gezichtsherkenning zijn er al gevallen bekend waarin de beveiliging omzeild kon worden. Zo blijft beveiliging een rat race tegen hackers. Beide methoden zijn in ieder geval veel beter en veiliger dan het gebruik van een pincode of een wachtwoord.

Persoonlijk heb ik met verschillende methoden geëxperimenteerd. Momenteel gebruik ik de irisscan om mijn smartphone (Samsung S8+) te ontgrendelen; en dat werkt feilloos als ik mijn bril afzet. Even de ogen richten op de twee rondjes die de camera toont en je bent ingelogd. Scannen van de vingerafdruk werkt bij mij even feilloos en eigenlijk nog sneller, maar omdat dit iets minder veilig heet te zijn heb ik toch gekozen voor de irisscan.

Momenteel is een geavanceerde smartphone geen standaarduitrusting van de meeste medewerkers van overheidsorganisaties. Dit zou een ander verhaal kunnen worden met de introductie van toepassingen waarmee smart phones de beveiliging gaan verzorgen voor het ontsluiten van computers en het uitvoeren van handelingen waarbij identificatie vereist is op het bedrijfsnetwerk. Technisch is dit al mogelijk, maar het wordt bij mijn weten nog niet toegepast voor informatiesystemen van documenten. Toch zal het niet lang meer duren totdat een manier van inloggen met biometrie zal worden gecombineerd met bijvoorbeeld een veilige manier voor het zetten van een digitale handtekening onder een document. Even een biometrisch kenmerk laten analyseren door, op het moment dat de handtekening gezet moet worden, naar het scherm van de smartphone te kijken of door de vinger tegen de vingerafdruksensor te houden, en de handtekening is gezet. Dat is een stuk efficiënter dan de inlogcodes die nu moeten worden gebruikt.

Biometrie en privacy
De Autoriteit Persoonsgegevens spreekt ook een woordje mee als het gaat om het gebruik van biometrie. Biometrie mag alleen worden toegepast als er sprake is van een gerechtvaardigd belang. De werkgever moet eerst nagaan of hetzelfde doel niet evengoed langs een andere weg bereikt kan worden. Ik verwacht dat werkgevers eenvoudig kunnen aantonen dat dit gerechtvaardigd belang aanwezig is. Biometrie zorgt immers voor een hogere mate van beveiliging van gegevens dan traditionele methodes. Uiteraard zullen de gegevens die verzameld worden voor biometrie zelf ook goed beveiligd moeten worden. Dat vraagt onder meer om een versleutelde opslag.

Conclusie
Authenticatie en autorisatie kunnen niet langer de verantwoordelijkheid zijn van een applicatiebeheerder van het informatiesysteem voor documenten die het er maar even bij doet. Nieuwe richtlijnen zoals de baselines voor informatiebeveiliging en de handreiking voor logische toegangsbeveiliging die daaruit voortvloeien, geven de organisatie een handreiking voor het systematisch organiseren van het toegangsbeheer.

Ook de methoden voor authenticatie zelf veranderen. De traditionele inlogmethode met gebruikersnaam en wachtwoord heeft waarschijnlijk zijn langste tijd gehad. Biometrie zal de vervanger zijn. Het is waarschijnlijk dat smartphones de hulpmiddelen zullen worden voor biometrische toegang tot de informatiesystemen van de overheid en dus ook tot de documenten die daarin zijn opgeslagen.

info@helder.com, Wim Helder is eigenaar van Helder Communicatie


Noot

1 https://www.ibdgemeenten.nl/wp-content/uploads/2016/07/20160721-Beleid-logische-toegangsbeveiliging-1.0.1.pdf