Vergroot contrast

Nieuwe ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)

De Autoriteit Persoonsgegevens (AP) vraagt aandacht voor de vernieuwde versie van de ICT-beveiligingsrichtlijnen over Transport Layer Security (TLS) van het Nationaal Cyber Security Centrum (NCSC). De nieuwe versie is gepubliceerd op 23 april 2019. Organisaties die gebruik maken van een ‘uit te faseren’ TLS-configuratie moeten deze configuratie op termijn vervangen. Anders lopen organisaties het risico dat zij niet voldoen aan de beveiligingseisen die volgen uit de AVG.

TLS is een protocol dat wordt gebruikt om de inhoud van het netwerkverkeer te versleutelen. TLS wordt bijvoorbeeld gebruikt voor het versleutelen van webverkeer (https). Aanvallen op het TLS-protocol zijn continu in ontwikkeling. Daarom is het noodzakelijk gebruik te maken van een toekomstvaste TLS-configuratie.

NCSC

Het NCSC stelt richtlijnen op om organisaties te helpen kiezen tussen de mogelijke instellingen van TLS en zo te komen tot een veilige configuratie. In de vernieuwde versie van deze richtlijnen worden de instellingen van TLS verdeeld in vier beveiligingsniveaus: onvoldoende, uitfaseren, voldoende en goed.

Risico

De AP benadrukt dat organisaties die op dit moment een TLS-configuratie gebruiken met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’, een risico lopen. Er verschijnen namelijk geregeld nieuwe of verbeterde aanvallen tegen TLS. In de nabije toekomst vallen deze instellingen daarom mogelijk onder het  beveiligingsniveau ‘onvoldoende’.

De AP raadt organisaties aan na te gaan of zij gebruiken maken van TLS-configuraties met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’. Als dat zo is, moeten zij een risicoanalyse uitvoeren en eventueel maatregelen nemen om de risico’s te beheersen. Tevens dienen de voorwaarden en de termijn waarna de uit te faseren configuratie niet meer wordt gebruikt te worden gedocumenteerd. De AP beveelt aan met deze uit te faseren TLS-configuraties proactief aan de slag te gaan en deze op termijn aan te passen naar een beveiligingsniveau ‘voldoende’ of ‘goed’. Anders lopen organisaties het risico dat zij niet voldoen aan artikel 24 en 32 van de AVG.

Informatie

Heeft uw organisatie de ICT-dienstverlening uitbesteed? Benader dan uw leverancier. Voor meer informatie en hulp met het kiezen van een toekomst vaste TLS-configuratie, zie de ICT-beveiligingsrichtlijnen voor transport layer security op de website van het NCSC.