Iedere gebruiker van diensten zal zichzelf af en toe deze vraag stellen: kan ik de aanbieder vertrouwen en aan anderen aanbevelen? Een voorbeeld van zo’n bedrijf is de aanbieder van ondertekeningsdiensten, waarmee op afstand overeenkomsten kunnen worden getekend. Vaak wordt op de sites van zulke bedrijven melding gemaakt van certificering volgens ISO- en/of NEN-normen, waarbij onmiddellijk de vraag rijst wat die certificering betekent.

Vraag & antwoord

Op 19 juni jl. heb ik een vraag hierover op mastodon geplaatst:

een ondertekeningsdienstverlener (digitale ondertekening van contracten) zegt dat hij gecertificeerd is voor ISO27001, ISO9001 en NEN7510.
Als ik naar de algemene informatie over de normen kijk lijkt het organisatorisch te zijn. Dan weet ik toch niet of de IT ook echt doet wat er wordt beloofd? Ik moet bij dit soort diensten altijd aan DigiNotar denken die voor van alles was gecertificeerd
(als ik me goed herinner door PWC) maar waar het met de IT verschrikkelijk mis ging. In een rapport over NIS2 https://www.ncsc.nl/documenten/publicaties/2022/oktober/13/index lees ik dat er in F en D programma’s zijn met IT-auditors, dat is er in NL toch niet? Kan er veilig met zo’n ondertekeningsdienst worden gewerkt. De genoemde certificeringen zijn natuurlijk positief.
Maar is zo’n dienst wel veilig zonder IT-audit? (…)

Mijn herinnering aan #DigiNotar (ik ben ooit bij een presentatie van die lui geweest) is dat het op ‘papier’ er prachtig uit zag. Bij zo’n ondertekeningsdienst zal dat het geval zijn als ze ISO-gecertificeerd zijn. Mijn probleem: kwa #cybersecurity kunnen ze lek als een mandje zijn. Dus: kan ik het wel gebruiken om iets op afstand te tekenen?

Diverse deskundigen waren zo vriendelijk antwoord te geven, die voor iedereen te lezen zijn:

• André Koot schrijft dat de genoemde normen wel aangeven dat de aanbieder aandacht heeft voor security, maar dat daaruit niet blijkt of het veilig is en hoe veilig. Hij schreef over DigiNotar.
• Bert Hubert zegt dat ISO9001 niets betekent en dat ISO27001 nuttig kan zijn afhankelijk van de scope, dus dat moet worden nagevraagd. Hoe nuttig een audit is, is de vraag, zegt Hubert, hangt er van af waar het over gaat.
• Hans Cees reageert dat NEN7510 de ISO27001 norm is met specifieke aanvullingen voor de zorg, waarbij vak een ISAE4302 verklaring wordt gevraagd als een soort van bewijs van audit dat de maatregelen op orde zijn.
• Fabian merkt op dat ISO27001 organisatorisch is, “To get these, a company has to proof that it has certain processes defined and follows them (e.g., handling of data, physical security of buildings, patch management, etc). I think it also includes some measures about coding practices, etc. However, they do *not* replace a pentest (security assessment of a software). During a pentest, ethical hackers look at the software and actively run tests to find vulnerabilities. This can also done on many different layers, with varying levels of effort/visibility/etc. But even then, vulnerabilities could be missed (due to various things), so there’s sasly never a guarantee.“

Normen

De wereld van de standaardisering is een fenomeen op zich. In Nederland is het Forum Standaardisatie actief, die op de site een aantal open standaarden vermeld.
Veel van die standaarden moeten worden gekocht, bijvoorbeeld bij de internationale standaardiseringsorganisatie ISO. Daar kan standaard ISO9001 worden gekocht. Ook standaard 27001, officieel ‘ISO/IEC 27001’ is daar te koop.
De Nederlandse algemene standaardiseringsorganisatie heet NEN, die de normdocumenten verkoopt. Sommige normen – zoals NEN 7510 (2017 deel 1, 2017 deel 2, 2018) – zijn gratis verkrijgbaar, maar eerst moet wel een account worden aangemaakt.
De overheid kent eigen normen, zoals Baseline informatiebeveiliging Overheid (BIO), met een eigen site, bio-overheid.nl.

Wordt aan de normen voldaan?

Als je de normen kunt lezen, weet je waar de onderneming organisatorisch aan behoort te voldoen, maar dat helpt niet altijd verder. Als het om kritische processen gaat, wil je als klant of gebruiker weten of de IT niet lek als een mandje is. Daar is in Nederland moeilijk achter te komen, aangezien er voor zover ik kon nagaan geen systeem van erkenning van certificeringsinstanties is.

Verder geven deze normen geen antwoord op de vraag of bij de ondertekeningsdienst aan de Europese eIDAS-verordening wordt voldaan, immers alleen bij een geavanceerde elektronische handtekening of een gekwalificeerde elektronische handtekening is er een redelijke respectievelijk grote zekerheid over het aangaan van een overeenkomst (misschien hangt dat ook af van de invulling van de certificering).

Certificering / audit
In het rapport over de impact van NIS2, de nieuwe Europese cybersecurity regels (te vinden bij het NCSC), worden de gevolgen van NIS2 voor Nederland beschreven. Onder meer zijn de regels op een grotere groep ondernemingen van toepassing.
Op pagina 48 van het rapport wordt beschreven dat in Frankrijk en Duitsland de overheid een actieve bemoeienis heeft met het cybersecurity ecosysteem, waarbij ook certificering door private deskundigen plaats vindt (ANSSI is Frans, BSI is Duits; noten verwijderd):

Next to any internal training programs, some countries such as France have plans for an active engagement with the cybersecurity ecosystem of the country. This involves, among others, making use of the services of private consultants. To ensure the reliability, independence, and expertise of the consultants, ANSSI runs a certification program. Similarly, BSI also provides certifications of persons on the basis of the Act on the Federal Office for Information Security (BSI Act). Qualified persons are required to perform evaluations and tests for the purpose of certifying products and management systems, as well as to support the BSI in IT security services. The aim of the procedure is to provide competent persons in the areas of application and to ensure the quality and comparability of the evaluations/examinations, audits, and services. This practice is quite common in other countries too, such as for example the UK and its national CSIRT, the NCSC-UK, which provides a certification program for Cyber Incident Response services, but also Proactive security event discovery, Response, and recovery planning services. Next to services, the NCSC-UK provides professional skills and training for individual experts (Certified Cyber Professional – CCP). Certification programs are policy instruments to increase the overall resilience of the cybersecurity products, systems, processes, and services.

In Nederland is daar voor zover ik weet niet bezig met dergelijke certificeringsystemen.

Onlangs werd bekend dat het voorstel voor de implementatie van NIS2 vertraging heeft opgelopen (bericht NCSC).

NB NEN vertelt op de html-pagina’s van de site nog steeds niet wat het is (zie eerder artikel onder kopje ‘Wie is het NEN?‘). Op de site zijn wel het KvK-nummer en btw-nummer te vinden maar niet de volledige naam. Na enig zoeken vindt ik in de AVG-verklaring voor website bezoekers (pdf) de naam: Stichting Koninklijk Nederlands Normalisatie-instituut.