Corona app informatiebeveiligingOp 11 april publiceerde het Ministerie van VWS de “Uitnodiging slimme digitale oplossingen Corona”. Binnen een week volgde een selectie van 7 aanbieders van apps, die zich konden presenteren bij de zogenaamde ‘Appathon’. De kritiek die volgde was niet mals; er bleek bij de beoordeling ‘nogal wat’ mis met de apps op het gebied van informatiebeveiliging en privacy.

Als adviseurs op deze thema’s, die dagelijks werken met normen als ISO 27001 en NEN 7510, vinden wij de gepubliceerde bevindingen op zijn minst opmerkelijk. Veel hiaten die geconstateerd werden, zouden zich ‘normaal gesproken’ niet voordoen als er conform deze normen wordt gewerkt.  

CertificeringsAdvies Nederland wil, als partner voor bedrijven op het vlak van informatiebeveiliging, graag een bijdrage leveren aan oplossingen in deze moeilijke tijd. Daarom:

  • vatten we hieronder de stand van zaken rond de Corona apps samen voor mensen die nu aanhaken;
  • onderbouwen we wat er in onze ogen mis ging;
  • en reiken we tips/hulpmiddelen aan voor verbetering (mét en zonder onze hulp).

Noot vooraf: Dit onderwerp ontwikkelt zich snel; updates aan dit blog kunnen volgen. De lessen van de laatste weken zijn ook nuttig voor informatiebeveiliging en privacy in het algemeen. Zoals altijd, maar vooral nu: heb je vragen, neem contact met ons op.

Corona Apps en de Appathon: hoe zat het ook alweer?

Op 11 April 2020 kwam de overheid (VWS) met de “Uitnodiging slimme digitale oplossingen Corona” via Tendernet. Hierin werd gevraagd om:

  1. Slimme digitale oplossingen die kunnen voorzien in bron- en contactopsporing, in aanvulling op reguliere bron- en contactopsporing door GGD diensten;
  2. Slimme digitale oplossingen die ondersteunen in de zelfmonitoring en begeleiding op afstand;
  3. Andere mogelijke digitale oplossingen die kunnen bijdragen aan de transitiestrategie;
  4. Randvoorwaarden waaronder dergelijke digitale oplossingen kunnen worden ingezet (met betrekking tot techniek, inhoud, werking, implementatie, de privacy en informatieveiligheid).

De oproep heeft geleid tot een kleine 700 aanbiedingen, waarvan een selectie van 7 is getoond bij de zogenaamde Appathon. Deze zijn beoordeeld door een KPMG onderzoek, landsadvocaat en Autoriteit Persoonsgegevens. Die beoordelingen waren uitgesproken negatief, zowel over de technische beveiligingsmaatregelen als de privacyoverwegingen, als ook over de noodzaak van een dergelijke app en het gevolgde proces.

Ron Roozendaal, Director of Information Policy & CIO van het ministerie, gaf in de kamerbriefing van 21 april daarop aan, dat eerder een voorstelling werd gemaakt dat er al applicaties rijp zouden zijn voor gebruik (ook in andere landen), maar dat dit op dit moment dus niet zo blijkt te zijn.

Vooropgesteld: het is goed dat we een poging wagen tot het ontwikkelen van een app én dat we kritisch zijn. Zolang er echter vragen zijn over de noodzaak en waarde van deze app(s), lijkt het niet noodzakelijk om op dit punt privacyrisico’s op te zoeken.

Waar ging het mis?

De voorspelling van de beveiligingsdiensten dat de overheid te snel wilde, kwam uit. De acties de je verwacht bij normale software ontwikkeling (requirements, ontwerp, geïntegreerde testen, enz.) zijn te snel doorlopen of soms zelfs geheel overgeslagen.

In het KPMG rapport zijn een aantal stuitende bevindingen te lezen. Je zou verwachten dat deze niet voorkomen bij aanbieders die NEN 7510 of AVG naleven. Vanuit CertificeringsAdvies Nederland ondersteunen wij organisaties bij AVG-compliance en implementatie van o.a. NEN 7510, de verplichte norm voor informatiebeveiliging in de zorg. Nu implementeer je deze principes natuurlijk niet even in een weekend, uit de losse pols. De 7 aanbieders verklaarden echter allen aan de gestelde eisen te voldoen. En voor alle duidelijkheid, de volgende eisen (en daarna nog 20) waren o.a. opgenomen:

  • Gebruik een veilige verbinding en sla gegevens veilig op
    • Volg hierbij NCSC TLS-richtlijnen
    • Volg hierbij de NCSC-richtlijnen voor mobiele app
  • Code review, gebruikerstest en pen-test (de app mag het aanvalsprofiel van de smartphone niet vergroten)
  • Geen datalek bij verlies/diefstal van de smartphone
  • Voldoen aan standaarden Informatiebeveiliging in de zorg NEN 7510, NEN 7512 en NEN 7513.

(Bron: de Uitnodiging)

Ergens gaat er hier dus iets mis. Maar waar? In de media is gesteld dat de vraagstelling van de overheid niet voldoende duidelijk was. Als adviseurs informatiebeveiliging vinden wij dat die onduidelijkheid vooral ligt in eigenaarschap, de Use Cases en randvoorwaarden rondom de applicaties (een datamodel lijkt bijvoorbeeld op basis van het getoonde formulier weer eenvoudig). Het kader voor de informatiebeveiligingseisen is duidelijk; supersnel daaraan voldoen lukt echter alleen een volwassen applicatie die al in gebruik is.

De overheid is er in haar tender dus vanuit gegaan dat professionele partners zich zouden aanmelden, die zelf aan kunnen dragen welke eisen er zijn en deze uiteraard ook al hebben ingevuld. Zie hiervoor óók punt d van de Uitnodiging. Het open staan voor meerdere oplossingen, of vertrouwen op deskundigheid van de aanbieders, is gebruikelijk in tenders. Dat hoeft niet op voorhand onvoldoende duidelijk te zijn, het verlegt wél een stuk inspanning van overheid naar aanbieder. Zolang de opdrachtgever dan maar:

  1. controleert – in dit geval gedaan – en
  2. de opdrachtnemer voldoende tijd geeft – dat was in dit geval blijkbaar te krap.

Positiever bekeken: het is gelukt om snel te controleren of er geschikte apps zijn. Helaas is de conclusie dat die er nog niet zijn. Laten we positief blijven en er van uit gaan dat toch in de komende weken blijkt dat er goede voorstellen komen van een team dat ontstaat uit deskundige organisaties, al dan niet al NEN 7510 gecertificeerd. Elke propositie kan beter en mogelijk kunnen onderdelen van één van de oplossingen die niet bij de laatste 7 zaten, alsnog de juiste blijken te zijn.

Hoe nu verder? Wat kan en moet beter?

AVG wet concreet 2Minister de Jonge gaf na de mislukte Appathon aan dat de 7 voorstellen vooralsnog van tafel zijn en dat hij snel wil beschikken over een team met experts op alle relevante gebieden, waaronder informatieveiligheid en privacy. Hergebruik van delen van eerdere oplossingen is mogelijk.

Iedereen heeft nu nog enige tijd om bij te dragen aan waardevolle nieuwe apps. De nieuwe ‘deadline’ is rond 19 mei, voor een go-no go beslissing. Een kleine 4 weken: een eeuwigheid voor een Proof of Concept, een enorme sprint voor een app met deze maatschappelijke impact en bestaande onzekerheden. Veel zal de komende dagen duidelijk moeten worden.

Technisch deskundige partijen hebben tijd om aanvullende kennis te verwerven over zorg-inhoudelijke processen; inhoudelijk deskundige partijen kunnen hun beveiliging verder op orde brengen. In de tussentijd kan de overheid beslissen over een eventuele noodwet, om de knoop door te hakken bij fundamentele tegenstrijdigheden tussen maximale informatie bij GGD en privacy. Bijvoorbeeld door expliciet duidelijk te stellen waarom en hoe in dit geval de grondslag van algemeen maatschappelijk belang zwaarwegend is.

Alle aanbieders hebben hun best gedaan te helpen en hebben hun eigen expertise. Er blijkt óf in die expertise, óf in de snelheid die nu gevraagd wordt en de daarvoor beschikbare handjes, iets te ontbreken. In dit geval kan niet 1 persoon alles weten: we moeten elkaar helpen de juiste hulpmiddelen te vinden. Die kennis en hulpmiddelen kunnen dan samenkomen in 1 systeem zonder blinde vlek waardoor er een app komt die veilig is en blijft, zolang noodzakelijk.

In de commissievergadering van 22 April wordt de basis gelegd voor een nieuw (ontwikkel)proces op basis van position papers van deskundigen. Belangrijk is dat niet gekeken wordt naar 1 app voor 1 oplossing: er zal de komende tijd worden gekeken naar meerdere apps met meerdere toepassingen.

Wat dragen wij bij vanuit CertificeringsAdvies Nederland?

Wij willen vanuit CertificeringsAdvies Nederland ook graag onze bijdrage leveren, door kennis te delen over NEN 7510, ISO 27001 en/of AVG. Uiteraard is dat onze ‘core business’, maar nuttige informatiebronnen zijn alvast:

  1. De NEN 7510 website. Hier vind je (gratis) de gehele norm, de eisen van wet- en regelgeving in de zorg en praktische implementatierichtlijnen voor alle relevante beveiligings best practices. Dus óók de best practices die bij de penetratietest en broncodeonderzoek bleken te falen: een gebrek aan secure coding principles, hardcoded wachtwoorden, gebrek aan dataminimalisatie en encryptie op de telefoon.
  2. De websites van NCSC en DTC. Diverse actuele publicaties en richtlijnen, plus actuele kwetsbaarheden.
  3. De website van de Autoriteit Persoonsgegevens (AP). In deze tijd én nuttig voor de mening van de AP over de huidige apps en het recht tot bestaan van dergelijke apps. Maar ook voor de doorvertalingen van EU richtlijnen m.b.t. diverse onderwerpen zoals DPIA, en hoe je kunt verantwoorden dat je voldoet aan privacy by design en dataminimalisatie. Praktisch gezien bleken een aantal van de voorgestelde applicaties ook nog geen verwerkingsregister te hebben. Die hebben wij voor je.
  4. De OWASP Top 10 en de OWASP Mobile Top 10. De facto de standaard voor voorbereiding tegen (en testen op) kwetsbaarheden. Ook is hier OWASP Zap beschikbaar, wijd verspreide gratis security scanner.
  5. De CVE: informatie over actuele kwetsbaarheden in IT. Er zijn meer bronnen en databases: deze zijn vaak het meest nuttig in combinatie met geautomatiseerde scan-oplossingen die deze gebruiken als referentie. Ook hiervoor kan je contact met ons opnemen.
  6. De NPR 5326, richtlijn voor risicobeheersing bij ontwikkeling en onderhoud van maatwerksoftware. Een specifiek onderdeel van de algemene ISO 27001 risicoanalyse, die een aantal bevindingen kan voorkomen.

Uiteraard hebben wij meer praktische uitwerkingen van alles wat nodig is voor NEN 7510 (of ISO 27001) certificering op de plank liggen (AVG certificering duurt nog even). Neem dus contact met ons op als je op zoek bent naar bijvoorbeeld ontwikkel- of encryptiebeleid, teststrategie of -procedure.

De snelste methode om eventuele gaten op te sporen en te dichten is door een interne audit uit te laten voeren. Audits zijn nuttig, kunnen we snel plannen en resulteren in duidelijk omschreven verbeteracties. Dat kunnen we doen op organisatie- of applicatieniveau.

Ook hier willen we meer dan ‘gewoon’ onze dienstverlening aanbieden. Ben je betrokken bij de ontwikkeling van een Corona-app of een andere toepassing gericht op de zorg? Geef dit dan aan wanneer je contact met ons opneemt. In het kader van het maatschappelijk belang, helpen wij je graag verder, tegen gereduceerde tarieven.

Wij wensen iedereen veel succes! Mocht je informatie willen of hulp nodig hebben, schroom dan niet om contact met ons op te nemen. Wij helpen je graag!

NEEM CONTACT OP

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl