Het NCSC komt met vernieuwde ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS). Een veilige TLS-configuratie is volgens het NCSC belangrijk om internetverbindingen te beveiligen. De vernieuwde richtlijnen moeten helpen TLS-configuraties meer toekomstvast te maken, zodat organisaties zich kunnen richten op dreigingen die dagelijkse aandacht verdienen.
TLS is het meest gebruikte protocol voor beveiliging van internetverbindingen. Een veilige TLS-configuratie is belangrijk voor het beveiligen van netwerkverbindingen zoals webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN). De richtlijnen vormen een advies bij het inkopen, opstellen en beoordelen van configuraties voor het Transport Layer Security-protocol (TLS). Organisaties die ICT-systemen inkopen, kunnen naar dit document verwijzen bij het stellen van eisen aan de te leveren producten.
NCSC stelt dat het de huidige, uit 2014 stammende richtlijnen aangepast heeft op basis van bijdragen van: Autoriteit Persoonsgegevens, Belastingdienst, Centric, Dienst Publiek en Communicatie, Forum Standaardisatie, IBD, KPN, NLnet Labs, Northwave, Platform Internetstandaarden, RDW, SURFnet, de Volksbank, Z-CERT, Nationaal Bureau voor Verbindingsbeveiliging en vijf internationaal toonaangevende experts op het gebied van TLS.
Actief doorontwikkeld
De TLS-standaard is sinds de publicatie van de richtlijnen in 2014 actief doorontwikkeld. De richtlijnen zijn vernieuwd om recente ontwikkelingen zoals TLS 1.3 te reflecteren. Verder is er ruimte voor verschillende nieuw gestandaardiseerde opties in oudere versies van TLS.
De meeste configuraties die voldeden aan de richtlijnen van 2014 zijn nog steeds veilig, maar de ontwikkeling van aanvalstechnieken zet ook door. Zo is van verschillende instellingen bekend dat ze fragiel zijn met oog op toekomstige doorontwikkeling - zo bieden ze slechts een geringe veiligheidsmarge. NCSC adviseert in de richtlijnen dan ook om voorwaarden voor uitfasering vast te leggen, waarmee beëindiging van het gebruik van deze instellingen wordt gepland.
AP waarschuwt voor risico's bij niveau 'uitfaseren'
De Autoriteit Persoonsgegevens (AP) benadrukt dat organisaties die op dit moment een TLS-configuratie gebruiken met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’, een risico lopen. Er verschijnen volgens de AP namelijk geregeld nieuwe of verbeterde aanvallen tegen TLS. In de nabije toekomst vallen deze instellingen daarom mogelijk onder het beveiligingsniveau ‘onvoldoende’.
De AP raadt organisaties aan om na te gaan of zij gebruiken maken van TLS-configuraties met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’. waar dat het geval is, moeten zij een risicoanalyse uitvoeren en eventueel maatregelen nemen om de risico’s te beheersen. Ook dienen de voorwaarden en de termijn waarna de uit te faseren configuratie niet meer wordt gebruikt te worden gedocumenteerd.
De toezichthouder beveelt aan met deze uit te faseren TLS-configuraties proactief aan de slag te gaan en deze op termijn aan te passen naar een beveiligingsniveau ‘voldoende’ of ‘goed’. Anders lopen organisaties het risico dat zij niet voldoen aan artikel 24 en 32 van de AVG.
