TLS-richtlijnen NCSC
News 24 april 2019

Vernieuwde TLS-richtlijnen van het NCSC

Het Nationaal Cyber Security Centrum (NCSC) heeft de vernieuwde versie van de ICT-beveiligingsrichtlijnen over Transport Layer Security (TLS) gepubliceerd. TLS is het meest gebruikte protocol voor het beveiligen van verbindingen op internet. Organisaties die gebruik maken van een ‘uit te faseren’ TLS-configuratie moeten deze configuratie op termijn vervangen, om te voorkomen dat zij niet voldoen aan de beveiligingseisen die volgen uit de AVG.

TLS-protocol

Een veilige TLS-configuratie is belangrijk voor het beveiligen van netwerkverbindingen. Bekende voorbeelden zijn webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN). Aanvallen op het TLS-protocol zijn continu in ontwikkeling. Daarom is het noodzakelijk gebruik te maken van een toekomstvaste configuratie.

De vernieuwde richtlijnen helpen toekomstvaste TLS-configuraties te maken, zodat organisaties zich kunnen richten op dreigingen die dagelijkse aandacht verdienen. De richtlijnen zijn bedoeld als advies bij het inkopen, opstellen en beoordelen van configuraties voor het Transport Layer Security-protocol (TLS). Organisaties die ICT-systemen inkopen, kunnen naar dit document verwijzen bij het stellen van eisen aan de te leveren producten.

Het NCSC vernieuwde de richtlijnen uit 2014 met waardevolle bijdragen van: Autoriteit Persoonsgegevens, Belastingdienst, Centric, Dienst Publiek en Communicatie, Forum Standaardisatie, IBD, KPN, NLnet Labs, Northwave, Platform Internetstandaarden, RDW, SURFnet, de Volksbank, Z-CERT, Nationaal Bureau voor Verbindingsbeveiliging en vijf internationaal toonaangevende experts op het gebied van TLS.

Reactie Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens benadrukt op de eigen website dat organisaties die op dit moment een TLS-configuratie gebruiken met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’, een risico lopen. Er verschijnen namelijk geregeld nieuwe of verbeterde aanvallen tegen TLS. In de nabije toekomst vallen deze instellingen daarom mogelijk onder het  beveiligingsniveau ‘onvoldoende’.

De AP raadt organisaties aan na te gaan of zij gebruiken maken van TLS-configuraties met instellingen die vallen onder het beveiligingsniveau ‘uitfaseren’. Als dat zo is, moeten zij een risicoanalyse uitvoeren en eventueel maatregelen nemen om de risico’s te beheersen. Tevens dienen de voorwaarden en de termijn waarna de uit te faseren configuratie niet meer wordt gebruikt te worden gedocumenteerd. De AP beveelt aan met deze uit te faseren TLS-configuraties proactief aan de slag te gaan en deze op termijn aan te passen naar een beveiligingsniveau ‘voldoende’ of ‘goed’. Anders lopen organisaties het risico dat zij niet voldoen aan artikel 24 en 32 van de AVG.

De nieuwe richtlijnen en meer informatie vind je op de website van het NCSC.

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK