0
Breedband

NCSC komt met vernieuwde TLS-richtlijnen

woensdag 24 april 2019 | 09:25 CET | Nieuws
Update: 24 april 2019 | 16:40 CET

Het NCSC komt met vernieuwde ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS). Een veilige TLS-configuratie is volgens het NCSC belangrijk om internetverbindingen te beveiligen. De vernieuwde richtlijnen moeten helpen TLS-configuraties meer toekomstvast te maken, zodat organisaties zich kunnen richten op dreigingen die dagelijkse aandacht verdienen.

TLS is het meest gebruikte protocol voor beveiliging van internetverbindingen. Een veilige TLS-configuratie is belangrijk voor het beveiligen van netwerkverbindingen zoals webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN). De richtlijnen vormen een advies bij het inkopen, opstellen en beoordelen van configuraties voor het Transport Layer Security-protocol (TLS). Organisaties die ICT-systemen inkopen, kunnen naar dit document verwijzen bij het stellen van eisen aan de te leveren producten.

NCSC stelt dat het de huidige, uit 2014 stammende richtlijnen aangepast heeft op basis van bijdragen van: Autoriteit Persoonsgegevens, Belastingdienst, Centric, Dienst Publiek en Communicatie, Forum Standaardisatie, IBD, KPN, NLnet Labs, Northwave, Platform Internetstandaarden, RDW, SURFnet, de Volksbank, Z-CERT, Nationaal Bureau voor Verbindingsbeveiliging en vijf internationaal toonaangevende experts op het gebied van TLS.

Actief doorontwikkeld

De TLS-standaard is sinds de publicatie van de richtlijnen in 2014 actief doorontwikkeld. De richtlijnen zijn vernieuwd om recente ontwikkelingen zoals TLS 1.3 te reflecteren. Verder is er ruimte voor verschillende nieuw gestandaardiseerde opties in oudere versies van TLS.

De meeste configuraties die voldeden aan de richtlijnen van 2014 zijn nog steeds veilig, maar de ontwikkeling van aanvalstechnieken zet ook door. Zo is van verschillende instellingen bekend dat ze fragiel zijn met oog op toekomstige doorontwikkeling - zo bieden ze slechts een geringe veiligheidsmarge. NCSC adviseert in de richtlijnen dan ook om voorwaarden voor uitfasering vast te leggen, waarmee beëindiging van het gebruik van deze instellingen wordt gepland.

AP waarschuwt voor risico's bij niveau 'uitfaseren'

De Autoriteit Persoonsgegevens (AP) benadrukt dat organisaties die op dit moment een TLS-configuratie gebruiken met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’, een risico lopen. Er verschijnen volgens de AP namelijk geregeld nieuwe of verbeterde aanvallen tegen TLS. In de nabije toekomst vallen deze instellingen daarom mogelijk onder het  beveiligingsniveau ‘onvoldoende’.

De AP raadt organisaties aan om na te gaan of zij gebruiken maken van TLS-configuraties met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’. waar dat het geval is, moeten zij een risicoanalyse uitvoeren en eventueel maatregelen nemen om de risico’s te beheersen. Ook dienen de voorwaarden en de termijn waarna de uit te faseren configuratie niet meer wordt gebruikt te worden gedocumenteerd. 

De toezichthouder beveelt aan met deze uit te faseren TLS-configuraties proactief aan de slag te gaan en deze op termijn aan te passen naar een beveiligingsniveau ‘voldoende’ of ‘goed’. Anders lopen organisaties het risico dat zij niet voldoen aan artikel 24 en 32 van de AVG.


[24-04-2019 16:40 - Update: Toevoeging vanuit Autoriteit Persoonsgegevens]


tp:vandaag

Elke werkdag rond 10.00 uur verstuurt Telecompaper de gratis "tp:vandaag".

Meld u nu aan

Categorieën: Internet
Bedrijven: KPN / Surfnet
Landen: Nederland
::: voeg een reactie toe

Reactie Plaatsen

We welcome comments that add value to the discussion. We attempt to block comments that use offensive language or appear to be spam, and our editors frequently review the comments to ensure they are appropriate. If you see a comment that you believe is inappropriate to the discussion, you can bring it to our attention by using the report abuse links. As the comments are written and submitted by visitors of the Telecompaper website, they in no way represent the opinion of Telecompaper.


Gerelateerd

Dutch cyber security centre to come out with updated security guidelines

Published 24 apr 2019 15:40 CET | Nederland
Dutch National Cyber Security Centre NCSC is coming out with updated IT security guidelines for Transport Layer Security (TLS). A ...

KPN: zwaarder investeren in cybersecurity

Published 12 mrt 2019 11:23 CET | Nederland
KPN stelt dat er zwaarder geïnvesteerd moet worden in cybersecurity,  maar ook in de relatie met partners en leveranciers. ...

CSIRT helpt digitale dienstverleners bij verbetering weerbaarheid

Published 22 jan 2019 09:15 CET | Nederland
Het CSIRT-DSP voor digitale dienstverleners is sinds 1 januari operationeel. Dat schrijft het Agentschap Telecom. CSIRT-DSP staat ...

Cyber Security Centrum subsidieert ontwikkeling van RPKI-software

Published 08 jan 2019 10:18 CET | Nederland
Eind 2018 heeft het Nationaal Cyber Security Centrum (NCSC) een subsidie verleend aan de stichting NLnet Labs om de ontwikkeling ...

Overheid wil meer samenwerking ministeries voor informatiebeveiliging, ICT

Published 12 okt 2018 09:17 CET | Nederland
De overheid gaat maatregelen treffen om de informatiebeveiliging, de informatiehuishouding en de ICT binnen de Rijksdienst te ...





Kalender   /   Evenementen

21 mei Telefonica Deutschland AGM
21 mei 1&1 Drillisch AGM
21 mei NGON & DCI World
21 mei Connections 2019
21 mei Small Cells World Summit
21 mei ICT Spring Europe
21 mei Honor press conference
21 mei MVNOs World Congress
22 mei Analog Devices fiscal Q2
22 mei Network Virtualization & SDN Europe
22 mei China Mobile AGM
23 mei Lenovo fiscal Q4
23 mei MTS Q1 2019
23 mei Weibo Q1 2019
23 mei Sina Q1 2019
23 mei ViaSat fiscal Q4
23 mei Bezeq Q1 2019
23 mei United Internet AGM
24 mei Ice Group Q1 results
27 mei Telkom FY results
28 mei Cellcom Q1 2019
28 mei Pareteum investor day
28 mei Computex
::: Meer Kalender Items