A & K-analyse op een vijftal interceptie organisaties en -systemen
A.J.M. de Bruijn RE RA
Global Risk Management Solutions 25 augustus 2003 Referentie: 2003-0440/ADB/mg
PricewaterhouseCoopers is de handelsnaam van onder meer de volgende vennootschappen: PricewaterhouseCoopers Accountants N.V. (ingeschreven in het Handelsregister onder nummer 34180285), PricewaterhouseCoopers Belastingadviseurs N.V. (ingeschreven in het Handelsregister onder nummer 34180284), PricewaterhouseCoopers Corporate Finance & Recovery N.V. (ingeschreven in het Handelsregister onder nummer 34180287) en PricewaterhouseCoopers B.V. (ingeschreven in het Handelsregister onder nummer 34180289). Op diensten verleend door deze vennootschappen zijn Algemene Voorwaarden van toepassing, waarin onder meer aansprakelijkheidsvoorwaarden zijn opgenomen. Deze Algemene Voorwaarden zijn gedeponeerd bij de Kamer van Koophandel te Amsterdam en ook in te zien op www.pwcglobal.com/nl.
Inhoud 1 1.1 1.2 1.3 1.4
Inleiding Achtergrond Doelstelling en scope Werkwijze en rapportage Leeswijzer
2 2.1 2.2 2.2.1
Managementsamenvatting Achtergrond Hoofdconclusie Conclusies en aanbevelingen inzake het beheer bij de interceptie organisaties Conclusies en aanbevelingen inzake de technische beveiliging van de interceptie systemen
10 10 11
3 3.1 3.2 3.2.1 3.2.2
Analyse van het onderzoek Inleiding Analyse Analyse inzake het beheer bij de interceptie organisaties Analyse inzake de technische beveiliging van de interceptie systemen
16 16 16 17 35
4 4.1
Bijlage A: Overzicht geclassificeerde bevindingen per checklist categorie Overzicht geclassificeerde bevindingen inzake het beheer bij de interceptie organisaties Overzicht geclassificeerde bevindingen inzake de technische beveiliging van de interceptie systemen
49
5
Bijlage B: Generiek model van een interceptie organisatie
52
6 6.1
Bijlage C: Toelichting op de gebruikte checklist Toelichting op de checklist inzake het beheer binnen de interceptie organisatie Toelichting op de checklist inzake de technische beveiliging van interceptie systemen
53
2.2.2
4.2
6.2
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
3 3 4 6 9
11 13
49 50
53 56
2
1 Inleiding 1.1
Achtergrond Het middel aftappen van telecommunicatie speelt een prominente rol bij de opsporing en het verzamelen van bewijzen tegen verdachten in met name de zwaardere strafzaken. De integriteit, authenticiteit en exclusiviteit van het middel en de langs die weg verkregen bewijzen, dienen boven elke twijfel verheven te zijn. Naar aanleiding van recente negatieve publicaties over diverse aspecten van het tappen hebben de Ministers van Justitie en Binnenlandse Zaken en Koninkrijkrelaties besloten tot een beoordeling ten aanzien van de integriteit van het middel. Het Bureau van het Platform voor Interceptie Decryptie en Signaalanalyse (hierna: PIDS) heeft PricewaterhouseCoopers Accountants N.V. (hierna: PwC) verzocht deze beoordeling uit te uitvoeren. In deze rapportage zullen we de volgende terminologie gebruiken. Onder een interceptie systeem verstaan we het systeem dat het aftappen technisch mogelijk maakt. Een dergelijk systeem bestaat onder meer uit specifieke hardware, netwerkverbindingen en programmatuur. Onder een interceptie organisatie (‘tapkamer’) verstaan we de organisatorische eenheid die een interceptie systeem beheert, veelal zal dit een afdeling van een politieorganisatie zijn. Op dit moment zijn twee typen interceptie systemen in gebruik in Nederland, die beide kunnen voorkomen in een interceptie organisatie: Systemen voor de interceptie, analyse en ontsluiting van het conventionele, circuit gebaseerde telefonienetwerk, waaronder analoge en digitale (ISDN, GSM) telefonie, alsmede de specifieke communicatieprotocollen die daarop gebaseerd zijn (modemverkeer, fax). Systemen voor de interceptie, analyse en ontsluiting van Internetcommunicatie. De interceptie systemen voorzien niet alleen in het vergaren en opslaan van de ‘ruwe’ broncommunicatie afkomstig van de aanbieder (Telco, Internet Service Provider) maar ook in de analyse van deze communicatie resulterend in ‘verrijkte’ informatie die geïnterpreteerd kan worden door bijvoorbeeld rechercheurs van het desbetreffende onderzoeksteam vanaf een uitwerkstation (een PC). Voorbeelden van ‘verrijkte’ informatie zijn zichtbaar gemaakte faxen, e-mails verstuurd over een modem of over een IP-gebaseerde verbinding. De communicatie tussen het interceptie systeem en het uitwerkstation kan gebaseerd zijn op een Local Area Network of op een Wide Area Network. Het onderstaande diagram beschrijft de generieke opzet van beide typen interceptie systemen en illustreert de geïntroduceerde termen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
3
Reikwijdte onderzoek Interceptie systeem
Telco
Analoog
Collectie Interface
'ruwe' Data
'verrijkte' Data
uitwerk station LAN/WAN
Telco
ISDN
Collectie Interface
Analyse subsysteem
'ruwe' Data
ISP
IP verkeer
'verrijkte' Data
Collectie Interface
uitwerk station LAN/WAN
Analyse subsysteem
Beheer interceptie organisatie
1.2
Doelstelling en scope Door de opdrachtgever is een vijftal interceptie organisaties en bijbehorende interceptie systemen aangewezen, waarvan een viertal ingericht is voor het afluisteren van circuit gebaseerde verkeer (PSTN, ISDN en GSM) en een enkele voor het afluisteren van Internetcommunicatie. De doelstelling van het onderzoek is een beoordeling of de wijze waarop de informatiebeveiliging - waaronder we in onderzoek verstaan de bescherming van de integriteit, authenticiteit en exclusiviteit van gegevens - in dit vijftal interceptie organisaties en de bijbehorende interceptie systemen is ingericht, voldoende toereikend is om toegang tot en mogelijke manipulatie van de informatie door onbevoegde derden in deze interceptie systemen te voorkomen. De continuïteit van de voorzieningen maakt daarbij geen expliciet onderdeel uit van het onderzoek. Het onderzoek stelt zich daarbij slechts ten doel een overzicht te geven van de beveiliging bij het vijftal interceptie organisaties en -systemen en rapporteert daarom niet over individuele interceptie organisaties en -systemen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
4
De reikwijdte van het onderzoek omvat primair een beoordeling van de volgende twee typen maatregelen in opzet:
Toereikendheid van de maatregelen in de programmatuur van de interceptie systemen zelf met betrekking tot integriteit, authenticiteit en exclusiviteit van gegevens (‘technische beveiliging’). Illustratieve voorbeelden van dergelijke maatregelen zijn toegangscontrole op alle logische toegangspaden, logging en bescherming van gegevens en archieven tegen manipulatie.
Toereikendheid van de beheersmaatregelen rond het interceptie systeem in de interceptie organisatie met betrekking tot integriteit, authenticiteit en exclusiviteit van gegevens. Illustratieve voorbeelden van dergelijke maatregelen zijn archivering van tapgegevens, usermanagement, functiescheiding, changemanagement en netwerkbeveiliging.
In aanvulling op de beoordeling van de opzet van de genoemde maatregelen, is een beperkt aantal indicatieve inspecties uitgevoerd naar het bestaan en de werking hiervan. Hoewel het zwaartepunt van het onderzoek zich gericht heeft op de interceptie systemen heeft de inrichting van de tapuitwerkstations ook deel uit gemaakt van het onderzoek. In bovenstaand diagram is de reikwijdte van het onderzoek verder verduidelijkt. Expliciet uitgesloten van de reikwijdte van het onderzoek is het domein van de aanbieders (de Telco’s en ISPs). PwC is niet betrokken geweest bij de selectie van de interceptie organisaties, de bijbehorende interceptie systemen of de versies daarvan. Hoewel naar onze mening de selectie wel degelijk een indicatief beeld schetst van Nederlandse interceptie organisaties, kan PwC niet instaan dat de selectie representatief is voor de Nederlandse situatie. Hierbij plaatsen wij de volgende additionele opmerkingen: - Van één van de circuit gebaseerde interceptie systemen kan gesteld worden dat dit geen volledig interceptie systeem is maar slechts een conversie voorziening tussen twee tapstandaarden, zonder actieve uitluisterstations. Dit interceptie systeem is om die reden ook slechts beperkt beoordeeld. De uiteindelijke uitslag rond dit systeem kan derhalve niet gezien worden als een uitslag voor interceptie systemen die tevens worden geleverd door dezelfde fabrikant. - Wij hebben de interceptie systemen bekeken zoals zij zijn aangeschaft door de interceptie organisatie in kwestie. Veel fabrikanten leveren, tegen meerprijs, optionele beveiligingsmaatregelen. Indien de interceptie organisatie deze optionele maatregelen niet heeft aangeschaft, dan hebben wij ze in voorkomende gevallen wel opgetekend, maar hebben ze niet in ons oordeel meegewogen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
5
1.3
Werkwijze en rapportage Het onderzoek is uitgevoerd in de periode april – augustus 2003 door een team van PwC bestaande uit vijf personen. De eindcoördinatie en kwaliteitscontrole ligt in handen van de heer A.J.M. de Bruijn RE RA, partner van de Global Risk Management Solutions (hierna: GRMS)-groep van PwC. Het onderzoek is als volgt gefaseerd: A. Analyse kwetsbaarheden en opstellen checklist ten behoeve van het onderzoek Voorafgaand aan de beoordeling van de beveiligingsinrichting van de interceptie systemen is eerst een generiek model van een interceptie systeem opgesteld (bijlage B van dit rapport) en zijn de kwetsbaarheden van een interceptie systeem geïnventariseerd. Op basis van deze analyses is vervolgens een checklist1 ten behoeve van het onderzoek opgesteld, dat wil zeggen de criteria waartegen de beveiliging van interceptie systemen en hun beheer door de interceptie organisaties zijn beoordeeld. Indachtig de doelstelling van het onderzoek bevat de checklist twee typen eisen: Inzake de maatregelen in de programmatuur van een interceptie systeem zelf. Inzake de beheersmaatregelen rond een interceptie systeem bij de interceptie organisatie. Het tweede type eisen dient onder andere te waarborgen dat maatregelen in de programmatuur van een interceptie systeem daadwerkelijk effectief werken. Bij het opstellen van het generieke model, de inventarisaties van kwetsbaarheden en het opstellen van de checklist, hebben wij ons gebaseerd op onze ervaring en op de volgende bronnen: Desk research rond de relevante wet- en regelgeving. Interviews met ter zake kundige personen werkzaam bij het Ministerie van Justitie, het Openbaar Ministerie, interceptie organisaties en leveranciers van interceptie systemen. De criteria in de checklist zijn onderverdeeld in een aantal categorieën. Deze categorieën betreffen onderwerpen die vanuit de kwetsbaarheidanalyse als belangrijk om te onderzoeken zijn aangeduid. De kwetsbaarheidanalyse is gebaseerd op het generieke model van een interceptie organisatie zoals beschreven in Hoofdstuk 5 (Bijlage B) van dit rapport. 1
Wij gebruiken in dit rapport de term ‘checklist’ hoewel de juiste vaktechnische term voor een EDP-audit vanuit de NOREA beroepsorganisatie ‘norm’ is. Hieronder wordt verstaan ‘de criteria waartegen is beoordeeld’. De term ‘norm’ heeft echter mogelijk een onjuiste connotatie bij de lezersgroep van dit rapport die hieronder mogelijk een wettelijke dan wel formele norm verstaat vastgesteld door een autoriteit waarvan hier geen sprake is. De criteria zijn namelijk opgesteld door PricewaterhouseCoopers in afstemming met de opdrachtgever, maar hebben geen formele, wettelijke status.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
6
Hierbij hebben wij systematisch de volgende typen risico’s geanalyseerd binnen de scope van het onderzoek: Gerelateerd aan de informatiestromen tussen de onderkende componenten. Gerelateerd aan de opslag van informatie in en vanuit de onderkende componenten. Deze analyse heeft geleid tot een formulering van de ons inziens belangrijkste eisen inzake het beheer bij de interceptie organisatie van het interceptie systeem en inzake de technische beveiliging van het interceptie systeem zelf. In Hoofdstuk 6 (Bijlage C) wordt per onderscheiden onderwerp het belang voor het onderzoek naar de beveiliging van interceptie systemen en hun beheer door de interceptie organisaties toegelicht. Deze toelichting valt uiteen in: 1. De onderwerpen waarbinnen eisen inzake het beheer binnen de interceptie organisatie zijn gedefinieerd (Paragraaf 6.1). 2. De onderwerpen waarbinnen eisen inzake de technische beveiliging van interceptie systemen zijn gedefinieerd (Paragraaf 6.2). B. Afstemmen van de checklist Gezien het belang van de checklist voor het verdere onderzoek, hebben wij de opgestelde checklist ten behoeve van het onderzoek afgestemd met de opdrachtgever op woensdag 7 mei 2003. De opdrachtgever heeft hiertoe een begeleidingscommissie samengesteld die bestond uit medewerkers van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het Openbaar Ministerie en het Ministerie van Justitie. C. Beoordeling van een vijftal interceptie organisaties en daarin gebruikte interceptie systemen Bij deze fase van het onderzoek zijn bij elk van het vijftal interceptie organisaties de volgende twee zaken beoordeeld tegen de opgestelde checklist: 1. Het beheer van het interceptie systeem bij de interceptie organisatie. 2. De technische beveiliging van het interceptie systeem in gebruik bij de interceptie organisatie. Voor het eerste type beoordeling: Zijn interviews met ter zake kundige aanspreekpunten van de interceptie organisatie gehouden. Is de relevante documentatie bij de interceptie organisatie opgevraagd en geanalyseerd. Zijn enkele indicatieve, beperkte inspecties uitgevoerd inzake het bestaan en werking van procedures.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
7
Voor het tweede type beoordeling: Zijn interviews gehouden met ter zake kundige aanspreekpunten van de fabrikant van het interceptie systeem. Is de relevante documentatie bij de fabrikant opgevraagd en geanalyseerd. Zijn enkele indicatieve inspecties uitgevoerd op het interceptie systeem bij de interceptie organisatie. D. Rapportage, afstemming en finalisering In deze fase van het onderzoek rapporteren wij over de bevindingen van ons onderzoek waaronder de geconstateerde kwetsbare punten van de onderzochte interceptie systemen en het beheer daarvan in het tapproces. Wij hebben eerst in concept gerapporteerd en deze rapportage afgestemd met de opdrachtgever en de begeleidingscommissie alvorens tot afronding over te gaan. Het onderzoek stelt zich ten doel slechts een overzicht te geven van de beveiliging bij het vijftal interceptie organisaties en -systemen en rapporteert daarom niet over individuele interceptie organisaties en -systemen.
Bij de geconstateerde bevindingen onderscheiden wij vier niveaus:
Classificatie H (Hoog)
M (Medium)
L (Laag)
O (OK)
Uitleg Een risico dat direct kan leiden tot inzage, verandering of verwijdering van geïntercepteerde informatie of daarmee samenhangende meta-informatie (zoals verkeersgegevens) in een interceptie systeem door onbevoegde derden. Adressering van dergelijke risico’s dient direct te worden aangevangen. Een risico dat indirect, in combinatie met andere beveiligingszwakheden, kan leiden tot inzage, verandering of verwijdering van geïntercepteerde informatie of daarmee samenhangende meta-informatie (zoals verkeersgegevens) in een interceptie systeem door onbevoegde derden. Adressering van dergelijke risico’s dient zo snel mogelijk te worden aangevangen. Een risico dat verband houdt met een laag risico in relatie tot inzage, verandering of verwijdering van geïntercepteerde informatie of daarmee samenhangende meta-informatie (zoals verkeersgegevens) in een interceptie systeem door onbevoegde derden. Adressering van dergelijke risico’s dient plaats te vinden zodra de gelegenheid zich voordoet. Bij bevindingen in deze categorie zijn geen opmerkingen te plaatsen inzake onvoldoende informatie beveiliging.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
8
Onze bevindingen en conclusies zijn gebaseerd op: 1. Bestudering van de documentatie en beveiligingsconfiguraties. 2. Interviews met betrokkenen. 3. Eigen waarneming en beperkte verificatie op systemen. Alle risico inschattingen in dit rapport zijn van PwC. 1.4
Leeswijzer Hoofdstuk 2 bevat de managementsamenvatting van het onderzoek bestaande uit een hoofdconclusie (Paragraaf 2.2) en uit specifieke conclusies en aanbevelingen aangaande het beheer bij de interceptie organisaties (Paragraaf 2.2.1) en de technische beveiliging van de interceptie systemen (Paragraaf 2.2.2). Hoofdstuk 3 bevat een gedetailleerde analyse van alle bevindingen van het onderzoek met een hoge of medium risicoclassificatie. Hierbij bespreekt Paragraaf 3.2.1 het beheer bij de interceptie organisaties bespreekt en Paragraaf 3.2.2 de technische beveiliging van de interceptie systemen. Hoofdstukken 4, 5 en 6 zijn bijlagen van dit rapport. Het eerste hoofdstuk bevat een overzicht van de geclassificeerde bevindingen in termen van percentages van geconstateerde risicoclassificaties. Hoofdstuk 5 bevat het generieke model van een interceptie organisatie zoals dat tijdens dit onderzoek is gebruikt. Hoofdstuk 6, tot slot, bevat een toelichting op checklist gebruikt tijdens het onderzoek.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
9
2 Managementsamenvatting 2.1
Achtergrond In de periode april – augustus 2003 heeft PwC voor het Bureau van het Platform voor Interceptie Decryptie en Signaalanalyse (hierna: PIDS) een onderzoek uitgevoerd naar de informatiebeveiliging van een vijftal interceptie organisaties (‘tapkamers’) en de daarin gebruikte interceptie systemen. Onder informatiebeveiliging wordt in het kader van dit onderzoek verstaan de bescherming van de integriteit, authenticiteit en exclusiviteit van gegevens. De continuïteit van de voorzieningen maakt geen expliciet onderdeel uit van het onderzoek. Van dit vijftal interceptie organisaties is een viertal ingericht voor het afluisteren van circuit gebaseerd verkeer (PSTN, ISDN en GSM) en een enkele voor het afluisteren van Internetcommunicatie. Het vijftal interceptie organisaties en de daarin gebruikte interceptie systemen is aangedragen door de opdrachtgever en PwC is niet betrokken geweest bij de selectie van de interceptie organisaties, de bijbehorende interceptie systemen of de versies daarvan Hoewel naar onze indruk de selectie wel degelijk een indicatief beeld schetst van Nederlandse interceptie organisaties en -systemen, kan PwC niet instaan dat de selectie representatief is voor de Nederlandse situatie. Wij voegen hieraan toe dat een van de circuit gebaseerde interceptie systemen geen volledige interceptie systeem is maar slechts een conversie voorziening tussen twee tapstandaarden, zonder actieve uitluisterstations. De reikwijdte van het onderzoek omvat primair een beoordeling van de volgende twee typen maatregelen in opzet: Maatregelen rond het beheer van de interceptie systemen bij de interceptie organisaties. Technische beveiliging van de interceptie systemen. De technische beveiliging van een (interceptie) systeem dient een solide basis te vormen voor de beheersing daarvan binnen een interceptie organisatie. Wij merken op dat wij de interceptie systemen hebben beoordeeld zoals ze door de interceptie organisatie zijn afgenomen van de fabrikant. Eventuele optioneel leverbare beveiligingsmaatregelen zijn niet meegewogen in ons oordeel. In aanvulling op de beoordeling van de opzet van de genoemde maatregelen, is een beperkt aantal indicatieve inspecties uitgevoerd naar het bestaan en de werking hiervan. Voor beide typen maatregelen zijn als onderdeel van het onderzoek eerst eisen opgesteld, resulterende in een checklist die afgestemd is met de opdrachtgever. Deze checklist vormde de criteria waartegen de beveiliging van interceptie systemen en hun beheer door de interceptie organisaties zijn beoordeeld. De feitelijke beoordelingen tegen de checklist hebben plaatsgevonden op basis van interviews met medewerkers van de interceptie organisaties en de fabrikanten van de interceptie systemen. In aanvulling hierop zijn beperkte indicatieve inspecties uitgevoerd inzake bestaan en werking op zowel de interceptie systemen als het beheer daarvan.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
10
Het onderzoek stelt zich daarbij slechts ten doel een overzicht te geven van de beveiliging bij het vijftal interceptie organisaties en -systemen en rapporteert daarom niet over individuele interceptie organisaties en -systemen. 2.2
Hoofdconclusie Tijdens ons onderzoek hebben we bij alle van het vijftal onderzochte interceptie organisaties belangrijke hiaten aangetroffen in zowel het beheer van het interceptie systeem door de interceptie organisatie als in de technische beveiliging van de interceptie systemen zelf. Dit betekent dat er bij alle onderzochte interceptie organisaties risico’s bestaan die direct kunnen leiden tot inzage, verandering of (niet) verwijdering van geïntercepteerde informatie of daarmee samenhangende meta-informatie (zoals verkeersgegevens) in hun interceptie systeem door onbevoegde derden. Adressering van dergelijke risico’s dient naar onze mening direct te worden aangevangen. Deze risico’s en aanbevelingen hieromtrent zijn in beknopte vorm beschreven in Paragraaf 2.2.1 (inzake het beheer) en Paragraaf 2.2.2 (inzake de technische beveiliging) en in uitgebreide vorm in Hoofdstuk 3. In hoeverre de genoemde risico’s ook daadwerkelijk hebben geleid tot misbruik, is gelet op het doel van het onderzoek niet onderzocht. Een mitigerende omstandigheid bij de ontoereikendheid van de technische beveiliging is dat de interceptie systemen worden ingezet binnen gecompartimenteerde omgevingen bij de politie zodat de hieraan gerelateerde risico’s primair van politie-interne aard zijn.
2.2.1 2.2.1.1
Conclusies en aanbevelingen inzake het beheer bij de interceptie organisaties (Voor een volledig overzicht zie Paragraaf 3.2.1). Algemene conclusie inzake het beheer bij de interceptie organisaties Tijdens ons onderzoek hebben we op tal van punten belangrijke hiaten aangetroffen in de beheersmaatregelen van toepassing bij de onderzochte interceptie organisaties, wij geven een (vrij willekeurige) selectie van dergelijke hiaten als illustratie: Voor het merendeel van de interceptie organisaties geldt dat gegevens voor de configuratie van een tap, waaronder cryptografische sleutels, niet beveiligd naar de aanbieder worden gefaxt. In het merendeel van de gevallen worden de cryptografische sleutels onvoldoende sterk gegenereerd. Incidenteel geldt dat een administratie van geëxporteerde gegevens ontbreekt of niet volledig is. Incidenteel geldt dat getapte boodschappen waarvoor bevel tot vernietiging is gegeven niet worden vernietigd door de interceptie organisatie. Incidenteel geldt dat door een heel opsporingsteam slechts een toegangsaccount wordt gebruikt. Voor het merendeel van de interceptie organisaties geldt dat toegangsrechten niet zijn vastgelegd en er geen periodieke controle op toegangsrechten plaatsvindt.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
11
Voor alle interceptie organisaties geldt dat pogingen tot ongeautoriseerde toegang tot het interceptie systeem niet tot blokkering leiden van dit account. Voor alle interceptie organisaties geldt dat er geen of een ontoereikend mechanisme is om de volledigheid van de taps te kunnen vaststellen. Voor het merendeel van de interceptie organisaties geldt dat er geen of onvoldoende maatregelen tegen een virusbesmetting zijn getroffen.
In onze visie wijzen de hiaten, aangetroffen in de beheersmaatregelen, erop dat het beheer en met name informatiebeveiliging bij de onderzochte interceptie organisaties onvoldoende is geformaliseerd, hetgeen met name naar voren komt doordat: Geen vastgelegde informatiebeveiligingsplannen bestaan voor deze interceptie organisaties. Geen separate controlerende of auditor-functie belegd is. Bij het merendeel van de interceptie organisaties geen vastgestelde uitwijk- of calamiteitenplannen aanwezig zijn. Geen vastgelegde procedures voor wijzigingsbeheer aanwezig zijn. Een bijkomend probleem is hierbij de onduidelijkheid in gepercipieerde verantwoordelijkheden tussen: Het Openbaar Ministerie als de eigenaar van de getapte gegevens. De interceptie organisaties als de technisch beheerder van de gegevens. De korpsen/diensten als gebruikers van de gegevens. Illustratief voor deze onduidelijkheid is dat bij het merendeel van de interceptie organisaties geen concrete beveiligingseisen van toepassing zijn voor de logische en fysieke beveiliging van uitwerkterminals. Deze interceptie organisaties achten zich hiervoor niet (gedelegeerd) verantwoordelijk. 2.2.1.2
Algemene aanbeveling inzake het beheer bij de interceptie organisaties Gesteld kan worden dat volgens de artikelen 126 M en T en 126 N en U van het Wetboek van Strafvordering het Openbaar Ministerie eigenaar is van de getapte gegevens. Wij bevelen daarom aan dat het Openbaar Ministerie: Duidelijke minimale eisen op stelt inzake beheer en beveiliging waaraan interceptie organisaties en korpsen/diensten die hier gebruik van maken moeten voldoen. Deze eisen zouden kunnen mede gebaseerd kunnen worden op de checklist die opgesteld is tijdens dit onderzoek Toeziet dat aan deze eisen wordt voldaan.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
12
2.2.2
Conclusies en aanbevelingen inzake de technische beveiliging van de interceptie systemen (Voor een volledig overzicht zie Paragraaf 3.2.2).
2.2.2.1
Algemene conclusie inzake de technische beveiliging van de interceptie systemen Voor het merendeel van de onderzochte interceptie systemen (drie van de vijf) is het fundament van de technische beveiliging ontoereikend. In alle gevallen is dit het gevolg van het feit dat het interceptie systeem voor het afdwingen van beveiliging op cruciale wijze vertrouwt op de (lokale) cliëntsoftware op de uitwerkstations. Personen met logische toegang tot uitwerkstations of het netwerk (zoals, maar niet beperkt tot, gewone gebruikers) zijn in principe in staat tot: Onbevoegde inzage van getapte boodschappen. Onbevoegde wijziging of vernietiging van getapte boodschappen. Onbevoegde wijzigingen in autorisaties in het interceptie systeem. Onbevoegde wijziging of vernietiging van log gegevens. In een enkel geval is het zelfs relatief eenvoudig mogelijk gebleken om beschikking te krijgen over het wachtwoord van de beheerder zodat verdere manipulatie kan plaatsvinden vanuit de standaard uitwerksoftware. We merken op dat deze constatering in het bijzonder betekent dat indien een van de bedoelde interceptie systemen meerdere gebruikersgroepen bedient, dat dan de compartimentering van tapgegevens derhalve niet gegarandeerd is: er kan niet worden uitgesloten dat de ene gebruikersgroep toegang kan verkrijgen tot de gegevens van de ander. Een van de bedoelde interceptie systemen werd gebruikt in een dergelijke opzet.
2.2.2.2
Algemene aanbeveling inzake de technische beveiliging van de interceptie systemen Wij adviseren op te leggen dat bij de technische beveiliging van interceptie systemen het uitgangspunt is dat het afdwingen van beveiliging moet worden uitgevoerd door processen/computers die vertrouwd kunnen worden door het interceptie systeem en dus niet door (lokale) cliëntsoftware op de uitwerkstations. Hiervoor kan gebruik gemaakt worden van een applicatie (web-)server waar gebruikers op aanloggen met (web) cliëntsoftware; de applicatie server dwingt de beveiliging af en onderhoudt een betrouwbare verbinding met de gebruiker. In het verlengde hiervan adviseren wij dat de beveiliging van interceptie systemen wordt beoordeeld door een onafhankelijke auditor voordat deze worden ingezet, mogelijk zelfs als onderdeel van het selectietraject. Gezien het feit dat wij de technische beveiliging van het merendeel van de onderzochte systemen reeds als ontoereikend bestempelen, kan het Openbaar Ministerie (als eigenaar van de gegevens) overwegen: Een dergelijke onafhankelijke beoordeling verplicht te stellen. Ook andere interceptie systemen in gebruik te laten beoordelen. Wij noemen nog een aantal belangrijke, specifieke conclusies en aanbevelingen ten aanzien van de beveiligingsfunctionaliteit van interceptie systemen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
13
2.2.2.3
Conclusie inzake waarborg en controle Het waarborgen en controleerbaar maken van de integriteit en authenticiteit van getapte boodschappen bij binnenkomst, archivering alsmede bij export naar een medium voor gebruik in de rechtszaal is een belangrijke functionele eis voor interceptie systemen. Deze eis wordt onvoldoende ondersteund door de onderzochte interceptie systemen. In bijna alle gevallen wordt vertrouwd op de logische of fysieke beveiliging van het medium waar de boodschappen zich op bevinden en in sommige gevallen wordt additioneel vertrouwd op zogenaamde ‘proprietary’ bestandsformaten en opslagsystemen. Ook gezien het vorige punt is dit vertrouwen niet terecht. Het gebruik van ‘proprietary’ technieken als onderdeel van beveiliging is gebaseerd op de security by obscurity hetgeen geen breed geaccepteerd beginsel is.
2.2.2.4
Aanbeveling inzake waarborg en controle Wij adviseren dat voor het waarborgen en controleerbaar maken van de integriteit en authenticiteit van getapte boodschappen gebruik gemaakt wordt van het mechanisme van controlegetallen. Deze kunnen los van de boodschappen worden beheerd en gearchiveerd (hashes) of zelfs een geïntegreerd deel uitmaken van de boodschap (digitale handtekeningen). In het verlengde hiervan adviseren wij dat het Openbaar Ministerie richtlijnen opstelt voor deze controlegetallen en dat de implementatie hiervan wordt meegenomen bij de onafhankelijke beoordeling genoemd in het vorige punt.
2.2.2.5
Conclusie inzake automatische controle op gebruikers Een belangrijk aandachtspunt bij de beveiliging van (interceptie)systeem is de automatische controle die kan worden uitgeoefend op gebruikers, waaronder: Instelbare, minimale eisen aan lengten van wachtwoorden. Instelbare eisen aan de complexiteit van wachtwoorden waaronder het bijhouden van een historielijst. Het verplicht veranderen van wachtwoord bij de initiële aanlog, of periodiek. Het kunnen veranderen van wachtwoorden door de gebruiker zelf. Het blokkeren van een account bij een instelbaar aantal foutieve inlogpogingen en het loggen van dergelijke inlogpogingen. Alle van de onderzochte interceptie systemen ondersteunde deze maatregelen in onvoldoende mate.
2.2.2.6
Aanbeveling inzake automatische controle op gebruikers Wij adviseren dat genoemde automatische controles verplicht worden gesteld voor interceptie systemen en dat beoordeling hiervan plaatsvindt als onderdeel van de eerder genoemde onafhankelijke beoordeling.
2.2.2.7
Conclusie inzake verwijdering van gegevens Het is een wettelijke vereiste dat interceptie systemen in staat zijn getapte boodschappen te verwijderen bij een zaak die definitief is afgedaan of in het geval van boodschappen waarbij zogenaamde ‘geheimhouders’ betrokken zijn.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
14
Het is belangrijk dat bij een dergelijke verwijdering de feitelijke boodschap ook daadwerkelijk wordt gewist binnen alle onderdelen van het systeem. In het geval van vernietiging van boodschappen waar ‘geheimhouders’ bij betrokken zijn, is het van belang dat de verkeersinformatie niet wordt verwijderd. Bij het merendeel van de onderzochte interceptie systemen was het niet mogelijk om de verwijdering van gegevens zoals beschreven mogelijk te maken om minstens een van de volgende redenen: Omdat er geen functionaliteit is om verwijdering mogelijk te maken. Omdat het niet mogelijk is om een volledig beeld te krijgen waarin het systeem de te verwijderen boodschappen zich allemaal bevinden. Omdat het niet mogelijk is om alleen de boodschap (en niet de verkeersinformatie) te verwijderen. Omdat de verwijdering slechts bestaat uit het verwijderen van een referentie naar de boodschap en niet uit de verwijdering van de boodschap zelf. 2.2.2.8
Aanbeveling inzake verwijdering van gegevens Wij adviseren dat genoemde (wettelijke) functionaliteit inzake verwijdering van boodschappen verder wordt geformaliseerd en verplicht worden gesteld voor interceptie systemen en dat beoordeling hiervan plaatsvindt als onderdeel van de eerder genoemde onafhankelijke beoordeling.
2.2.2.9
Conclusie inzake logging Het is belangrijk dat een interceptie systeem essentiële gebeurtenissen vastlegt (‘logt’), zoals onder meer mislukte aanlogpogingen, wijzigingen en veranderingen in autorisaties en wissen van gesprekken. Als onderdeel van de opgestelde checklist ten behoeve van het onderzoek hebben wij dertien essentiële gebeurtenissen onderscheiden. Wij hebben geconstateerd dat het merendeel van de interceptie systemen een of meerdere van deze gebeurtenissen niet vastlegt. Sommige gebeurtenissen kunnen op een zodanig groot beveiligingsprobleem duiden dat vastlegging alleen niet voldoende is maar dat ook het beheer van het interceptie systeem gealarmeerd dient te worden. Hierbij denken wij bijvoorbeeld aan aanvallen op de interfaces waar de gesprekken met de Telco’s op binnen komen, bestaande uit herhaald en simultaan inbellen door een aanvaller op de interface waardoor legitieme verbindingen met de Telco’s niet kunnen worden geaccepteerd.
2.2.2.10
Aanbeveling inzake logging Wij adviseren dat genoemde logging en alarmeringen een verplicht onderdeel worden interceptie systemen en dat beoordeling hiervan plaatsvindt als onderdeel van de eerder genoemde onafhankelijke beoordeling.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
15
3 Analyse van het onderzoek 3.1
Inleiding Dit hoofdstuk bevat een geanonimiseerde analyse van de belangrijkste bevindingen als resultaat van het onderzoek naar de vijf interceptie systemen en het beheer daarvan in het tapproces. Dit zijn de bevindingen die indirect of direct kunnen leiden tot inzage, verandering of verwijdering van geïntercepteerde informatie of daarmee samenhangende meta-informatie in een interceptie systeem door onbevoegde derden (classificatie Medium of Hoog). De geformuleerde bevindingen zijn indien nodig voorzien van een risico-omschrijving en aanbeveling. De bevindingen zijn onderverdeeld in de in de checklist gebruikte categoriën en doorlopend genummerd per categorie. Daar het onderzoek zich slechts ten doel stelt een overzicht te geven van de beveiliging bij het vijftal interceptie organisaties en -systemen en niet over individuele interceptie organisaties en -systemen, worden de volgende termen gebruikt: ‘Incidenteel’, wanneer de bevinding een of twee interceptie organisaties of systemen betreft. ‘Het merendeel’, wanneer de bevinding drie of vier van de onderzochte interceptie organisaties of systemen betreft. ‘Alle’, wanneer de bevinding alle onderzochte interceptie organisaties of systemen betreft. Voor de beoordeling van de interceptie systemen hebben bekeken zoals zij zijn aangeschaft door de interceptie organisatie in kwestie. Daarbij zij aangetekend dat wij geen vastgestelde normen hebben geconstateerd waaraan aan te schaffen interceptie systemen dienen te voldoen. Veel fabrikanten leveren, tegen meerprijs, optionele beveiligingsmaatregelen. Indien de interceptie organisatie deze optionele maatregelen niet heeft aangeschaft, dan hebben wij ze in voorkomende gevallen wel opgetekend (hoewel geen volledigheid is nagestreefd), maar hebben wij ze niet in ons oordeel meegewogen.
3.2
Analyse Voor de bondigheid van de analyse worden in beginsel bevindingen die een aantal keer naar voren komen bij verschillende onderdelen van onze checklist slechts eenmaal genoemd in de analyse.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
16
3.2.1
Analyse inzake het beheer bij de interceptie organisaties A. Configureren van taps 1. Voor het merendeel van de interceptie organisaties geldt dat gegevens voor de configuratie van een tap, waaronder cryptografische sleutels, niet beveiligd naar de aanbieder worden gefaxt. De cryptografische sleutels die gebruikt worden voor communicatiebeveiliging met de aanbieder, worden tezamen met het telefoonnummer (of IMEI) van het te tappen individu en het ISDN-subadres van de interceptie organisatie, op het voorblad van de fax aan de aanbieder gefaxt. Alle gegevens op een fax vormt een risico voor de vertrouwelijkheid in het geval van onjuiste routering (foutief nummer) of onderschepping door ongeautoriseerde derden. Wij adviseren gebruik te maken van cryptografische apparatuur of software voor de beveiliging van de communicatie vanuit de interceptie organisatie inzake tapgegevens. 2. Voor het merendeel van de interceptie organisaties geldt dat JTS-sleutels niet random worden aangemaakt. De cryptografische sleutels die gebruikt worden voor communicatiebeveiliging met de aanbieder worden in veel gevallen handmatig gegenereerd. Hierbij wordt bovendien een klein alfabet, bestaande uit hoofdletters en cijfers, gebruikt. Handmatig genereren heeft als risico dat, door het herhaaldelijk gebruik van patronen, sleutels makkelijk te achterhalen zijn door ongeautoriseerde derden. Door het gebruik van het alfabet bestaande uit hoofdletters en cijfers kunnen cryptografische sleutels van het gebruikte type op een snelle PC in enkele dagen worden gekraakt. Zolang het gebruikte type cryptografische sleutels (‘JTS’) wordt gebruikt adviseren wij gebruik te maken van een (random)-sleutelgenerator waarbij in principe elke mogelijke sleutel voor kan komen, dus niet alleen die opgebouwd zijn uit hoofdletters en cijfers. 3. Incidenteel geldt dat taps niet tijdig worden beëindigd Incidenteel geldt dat binnen de interceptie organisatie geen adequate maatregelen, zoals automatische controles, aanwezig zijn die het tijdig afsluiten van taps waarborgen. Aanbieders sluiten in veel gevallen taps ook niet tijdig af. Op het moment dat zowel de aanbieder als de interceptie organisatie een tap niet tijdig afsluiten, is de volledigheid en de exclusiviteit van getapte boodschappen geschonden. Namelijk, communicatie van het getapte individu wordt onderschept zonder een hieraan ten grondslag liggend tapbevel van de Officier van Justitie.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
17
Wij adviseren binnen de interceptie organisatie adequate maatregelen te implementeren die waarborgen dat een tap tijdig wordt afgesloten volgens tapbevel. Aanbevolen wordt om hiervoor een geautomatiseerde afsluiting van taps, na de gerechtigde einddatum, te implementeren. B. Verkrijgen en verzamelen gegevens 1. Incidenteel geldt dat een administratie van geëxporteerde gegevens ontbreekt of niet volledig is. Incidenteel geldt dat aangevraagde operationele exports niet worden geadministreerd binnen de interceptie organisatie en dat de ontvanger niet tekent voor ontvangst. Hierdoor heeft de interceptie organisatie geen zicht op waar deze exports zich bevinden en is men niet in staat hierover verantwoording af te leggen. Tevens geldt incidenteel dat het verzoek tot export niet voorzien is van handtekening van de teamleider of Officier van Justitie. Bij een bevel tot vernietiging of verwijdering van getapte boodschappen van geheimhoudergesprekken kan de interceptie organisatie niet waarborgen dat dit bevel volledig tot uitvoering wordt gebracht, wanneer exports niet worden geadministreerd. Door het accepteren van verzoeken tot export zonder formele toestemming is de exclusiviteit van de getapte boodschappen niet gewaarborgd. Wij adviseren binnen de interceptie organisatie een actuele administratie te voeren van de locaties waar getapte boodschappen zich bevinden, voor zover die afwijkt van de gebruikelijke locatie. Tevens adviseren wij de interceptie organisatie verzoeken tot operationele export alleen te accepteren wanneer deze zijn voorzien van formele toestemming. 2. Incidenteel geldt dat toegang tot getapte boodschappen niet beperkt is tot geautoriseerde uitwerkstations. In dit incidentele geval is toegang tot getapte boodschappen middels het interceptie systeem in principe mogelijk vanaf elk werkstation binnen het landelijke politienetwerk dat beschikt over een webbrowser. In combinatie met onvoldoende logische toegangsbeveiliging, waaronder een onvoldoende sterke authenticatie van gebruikers, is de exclusiviteit van de getapte boodschappen niet gewaarborgd. Wij adviseren dat de interceptie organisatie eisen vaststelt die waarborgen dat toegang tot getapte boodschappen slechts mogelijk is vanaf geautoriseerde uitwerkstations met voldoende fysieke en logische beveiliging. Deze eisen dienen te worden opgelegd aan de gebruikersorganisatie en naleving hiervan dient te worden gecontroleerd.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
18
C. Verstrekken en verspreiden gegevens 1. Voor alle onderzochte interceptie organisaties die operationele exports genereren, geldt dat deze exports onbeveiligd worden uitgegeven. De gegevensdragers met geëxporteerde getapte boodschappen zijn in alle gevallen niet beveiligd, noch zijn de getapte boodschappen op de gegevensdrager zelf beveiligd. Wanneer een gegevensdrager met daarop een operationele export in handen komt van een ongeautoriseerde derde, zijn de getapte boodschappen hierop rechtstreeks te beluisteren en/of te bekijken. Wij adviseren de interceptie organisatie operationele export adequaat te beveiligen, bijvoorbeeld middels versleuteling. 2. Voor alle onderzochte interceptie organisaties waarbij gebruikers uitluisteren middels uitwerkterminals geldt dat er geen (formele) eisen vanuit de interceptie organisatie worden opgelegd aan de beveiliging, plaatsing en inrichting van deze uitwerkterminals. In vrijwel al deze gevallen wordt aangegeven dat de beveiliging van uitwerkterminals de verantwoordelijkheid is van de betreffende gebruikersorganisatie, dan wel de ondersteunende IT organisatie van de gebruikers. Daadwerkelijke controle op uitwerkterminals door de interceptie organisatie vindt in geen enkel geval (structureel) plaats. Door het ontbreken van eisen aan beveiliging, plaatsing en inrichting van uitwerkterminals en controle hierop, kan de interceptie organisatie de exclusiviteit van getapte boodschappen niet garanderen. In onze gesprekken met interceptie organisaties is een paar keer naar voren gekomen dat in hun visie hun verantwoordelijkheid zich niet uitstrekt tot (de beveiliging van) de uitwerkstations. Ons inziens is het Openbaar Ministerie, als eigenaar van de tapgegevens in het systeem, verantwoordelijk voor de integrale beveiliging daarvan en kan hieraan gevolg geven door sluitende afspraken te maken met faciliterende interceptie organisaties en gebruikersorganisaties. Wij adviseren dat de interceptie organisatie beschikt over vastgelegde afspraken met partijen over de beveiliging van uitwerkstations, dat deze afspraken worden geïmplementeerd en dat de naleving hiervan wordt gecontroleerd. 3. Incidenteel geldt dat een originele gegevensdrager door de interceptie organisatie wordt afgegeven en hierna niet meer ontvangst wordt genomen door de interceptie organisatie. In deze voorvallen was tevens geen sprake van beveiliging van de originele gegevensdrager én bleef geen kopie van de getapte boodschappen achter in de interceptie organisatie. Door het onbeveiligd afgeven van een originele gegevensdrager met getapte boodschappen uit de interceptie organisatie zonder een kopie te bewaren binnen de interceptie organisatie, zijn de integriteit en de exclusiviteit van de getapte boodschappen niet gewaarborgd.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
19
Wij adviseren de interceptie organisatie in geval van het afgeven van een originele gegevensdrager, deze gegevensdrager voldoende te beveiligen en altijd een kopie te bewaren binnen de interceptie organisatie. 4. Incidenteel geldt dat teamleiders van het opsporingsteam in staat zijn getapte boodschappen te exporteren. Incidenteel geldt dat teamleiders van het opsporingsteam de systeemtechnische bevoegdheid bezitten om getapte boodschappen te exporteren. In combinatie met ontoereikende logische toegangsbeveiliging is niet gewaarborgd dat getapte boodschappen slechts op basis van een formele aanvraag worden geëxporteerd. Dit leidt tot een risico voor de exclusiviteit van getapte boodschappen. Wij adviseren dat teamleiders niet de systeemtechnische bevoegdheid hebben voor het exporteren van getapte boodschappen, dan wel anderszins de exclusiviteit van getapte boodschappen te waarborgen ondanks deze mogelijkheid. D. Verwijderen (bij onherroepelijke zaak) en vernietigen (geheimhouders) gegevens 1. Incidenteel geldt dat getapte boodschappen waarvoor bevel tot vernietiging is gegeven niet worden vernietigd door de interceptie organisatie. Het is in dit incidentele geval zeer omslachtig om getapte boodschappen op bevel van de Officier van Justitie te vernietigen, daar een systeemtechnische optie ontbreekt. Hierdoor wordt geen opvolging gegeven aan het bevel van de Officier van Justitie en blijven getapte boodschappen met geheimhouders beschikbaar. Wij adviseren dat interceptie systemen altijd de mogelijkheid hebben om op gecontroleerde wijze getapte boodschappen volledig te verwijderen en wel op onomkeerbare wijze. 2. Voor alle interceptie organisaties geldt dat te verwijderen gegevens op bevel van de Officier van Justitie niet, of niet onomkeerbaar worden verwijderd. Voor alle interceptie organisaties waar vernietiging van getapte boodschappen plaatsvindt geldt dat de vernietigde boodschappen niet onomkeerbaar verwijderd zijn. Vaak wordt alleen de referentie naar de getapte boodschap verwijderd en is de getapte boodschap zelf nog op het interceptie systeem, in het archief of op de gegevensdragers aanwezig. Slechts op termijn wordt deze overschreven met nieuwe informatie. Wij adviseren dat interceptie systemen altijd de mogelijkheid hebben om op gecontroleerde wijze getapte boodschappen volledig te verwijderen en wel op onomkeerbare wijze.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
20
3. Voor het merendeel van de interceptie organisaties geldt dat alle beheerders in een interceptie organisatie getapte boodschappen kunnen verwijderen. Alle beheerders in de interceptie organisaties, waar wissen van getapte boodschappen wordt uitgevoerd, beschikken over of zijn in staat zichzelf rechten toe te eigenen om getapte boodschappen te vernietigen. Op de vernietigingsactiviteiten van de verschillende beheerders vindt geen structurele controle plaats door een auditor of supervisor. Het risico bestaat dat beheerders bewust dan wel onbewust getapte boodschappen vernietigen zonder dat hieraan een bevel van de Officier van Justitie aan ten grondslag ligt en dat dit niet wordt opgemerkt. Wij adviseren, waar mogelijk, de systeemtechnische bevoegdheid tot vernietigen van getapte boodschappen te beperken tot een of twee medewerkers. Tevens adviseren wij een structurele controle door een onafhankelijke auditor uit te laten voeren op het gebruik van deze rechten aan de hand van bevelen van de Officier van Justitie. 4. Voor het merendeel van de interceptie organisaties geldt dat verkeersgegevens horende bij getapte boodschappen tijdens vernietiging niet behouden blijven. Binnen de interceptie organisaties waar getapte boodschappen worden vernietigd, geldt dat voor alle of voor een bepaald type getapte boodschappen de verkeersgegevens niet bewaard blijven als de getapte boodschappen door het interceptie systeem worden vernietigd. In dit geval is het niet mogelijk om aan de hand van de bron-verkeersgegevens in het systeem aan te tonen dat vernietiging heeft plaatsgevonden zoals op het bevel aangegeven. Wij adviseren de interceptie organisatie bij het vernietigen van getapte boodschappen de verkeersgegevens te behouden zodat middels deze brongegevens in het systeem kan worden aangetoond dat de getapte boodschappen van geheimhouders juist en volledig zijn vernietigd. E. Archiveren 1. Voor het merendeel van de interceptie organisaties geldt dat volledigheid, integriteit en authenticiteit van archivering niet worden gewaarborgd. Binnen de interceptie organisaties waar getapte boodschappen worden gearchiveerd zijn geen mechanismen in werking waarmee de integriteit en authenticiteit van de gearchiveerde getapte boodschappen wordt gewaarborgd. Wij adviseren de integriteit en authenticiteit van archivering te waarborgen door een betrouwbaar controlegetal te berekenen over de inhoud van binnenkomende getapte boodschappen en overeenkomst met het controlegetal van de gearchiveerde getapte boodschappen te controleren.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
21
F. Autorisatiebeheer Zie tevens de analyse bij onderdeel ZJ: autorisaties, voor gelieerde bevindingen uit de programmatuur. 1. Incidenteel geldt dat door meerdere personen een toegangsaccount wordt gebruikt. In een aantal interceptie organisaties wordt door alle beheerders gebruik gemaakt van een generiek account voor toegang tot de (beheer)applicatie en/of onderliggende infrastructuur. Door het gebruik van een generiek account is het niet mogelijk te bepalen wie welke handelingen en/of wijzigingen binnen het interceptie systeem heeft uitgevoerd, ondanks de soms zeer uitgebreide rechten behorende bij deze beheerder accounts. Tevens komt het voor dat alle leden van een opsporingsteam gebruik gemaakt van een generiek account voor toegang tot de uitluisterprogrammatuur. In dit geval is het voor gebruikers niet mogelijk om het authenticatiemiddel als persoonlijk bezit te behandelen. Incidenteel geldt dat door alle tolken gezamenlijk een account wordt gedeeld, met uitluisterrechten op alle getapte lijnen. Wij adviseren te waarborgen dat alle beheerders en gebruikers beschikken over een persoonlijk account met authenticatiemiddel wat men als persoonlijk bezit kan behandelen, zodat vooraf gedefinieerde activiteiten persoonsgebonden kunnen worden vastgelegd. 2. Voor het merendeel van de Interceptie organisaties geldt dat beheerders zeer uitgebreide of alle rechten hebben in het interceptie systeem, terwijl zij dit niet voor hun dagelijkse werkzaamheden nodig hebben. Het toekennen van uitgebreide of maximale rechten aan alle of veel beheerders binnen een interceptie organisatie betekent dat meerdere mensen de mogelijkheid hebben om activiteiten te verrichten die de integriteit, authenticiteit en de exclusiviteit van getapte boodschappen beïnvloeden. In geen enkel geval wordt op het gebruik van deze rechten structureel controle uitgeoefend door een onafhankelijke auditor. Wij adviseren de rechten van beheerders kritisch te bekijken op noodzaak en niet noodzakelijke rechten gezien normale beheeractiviteiten te verwijderen voor zover mogelijk. Tevens adviseren wij een structurele controle in te stellen door een onafhankelijke auditor naar het gebruik van vooraf bepaalde kritische rechten, zoals wissen, uitgeven van autorisaties en aanmaken van exports. 3. Voor het merendeel van de interceptie organisaties geldt dat toegangsrechten niet zijn vastgelegd en er geen periodieke controle op toegangsrechten plaatsvindt.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
22
Door het ontbreken van vastlegging van de toegangsrechten en het niet uitvoeren van periodieke controle op deze toegangsrechten in het systeem is niet gewaarborgd dat beheerders over slechts de juiste rechten binnen het interceptie systeem beschikken. Wij adviseren toegangsrechten van gebruikers en beheerders vast te leggen en periodiek te laten controleren in het systeem door een auditor. 4. Voor alle interceptie organisaties geldt dat het authenticatiemiddel onvoldoende sterk is. Alle onderzochte interceptie systemen maken gebruik van wachtwoorden als authentiek middel. De afgedwongen eisen aan wachtwoorden die gebruikt worden door gebruikers en beheerders om toegang tot het interceptie systeem te verkrijgen zijn bij alle interceptie organisaties onvoldoende om de exclusiviteit van wachtwoorden te verzekeren. Het betreft hier eisen aan de lengte, het voorkomen van gebruik van bepaalde, zwakke wachtwoorden, het verplicht periodiek wijzigen van wachtwoorden. In alle gevallen is dit het gevolg van tekortkomingen in het interceptie systeem van de interceptie organisatie. In het merendeel van de gevallen kan een gebruiker zijn eigen wachtwoord niet veranderen. Het initieel, door de beheerders, aangemaakte wachtwoord is in incidentele gevallen makkelijk te achterhalen. Wij adviseren een voldoende sterk authenticatiemiddel te implementeren. In onze visie betekent dit dat minimaal de volgende eisen aan gebruikersaccounts en wachtwoorden worden gesteld: Minimaal acht tekens. Elke drie maanden wordt de gebruiker of beheerder verplicht om zijn wachtwoord te vervangen. Een gebruiker of beheerder kan op elk moment zijn wachtwoord zelf wijzigen. Een wachtwoord dat eenmaal gebruikt is, kan niet de eerst volgende tien keer worden hergebruikt. Er zijn maatregelen getroffen om te voorkomen dat een wachtwoord te eenvoudig is, bijvoorbeeld door het controleren van nieuwe wachtwoorden tegen de gebruikersnaam, tegen een woordenlijst, het eisen van minimaal twee cijfers en/of het eisen van het gebruik van minimaal één niet-alfanumeriek karakter. Na het vaststellen van een initieel wachtwoord bij het aanmaken van een gebruiker door een beheerder, dient de gebruiker te worden gedwongen bij de eerste keer aanloggen zijn password te wijzigen. Het initiële wachtwoord mag niet voor de hand liggend en eenvoudig te raden zijn. 5. Voor het merendeel van de interceptie organisaties geldt dat de overhandiging van het initiële wachtwoord aan de gebruikers niet veilig plaatsvindt. In het merendeel van de gevallen worden user-id’s en wachtwoorden telefonisch of per fax tezamen aan de gebruiker overhandigd. Deze eenvoudig te onderscheppen communicatie vormt een risico voor de exclusiviteit van de getapte boodschappen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
23
Wij adviseren het user-id apart van het wachtwoord aan de gebruiker te verstrekken en beide gegevens adequaat te beveiligen bijvoorbeeld door gebruik te maken van persoonlijke overhandiging. 6. Voor alle interceptie organisaties geldt dat pogingen tot ongeautoriseerde toegang tot het interceptie systeem niet tot blokkering leiden van dit account. Indien een ongeautoriseerd persoon toegang probeert te krijgen tot een account, door bijvoorbeeld het raden van wachtwoorden, leidt dit niet tot blokkering van dit account na een aantal maal. In incidentele gevallen worden onsuccesvolle toegangspogingen niet gelogd. In combinatie met de zwakke wachtwoorden leidt dit tot een risico voor de exclusiviteit van de getapte boodschappen. Wij adviseren de maatregel te implementeren dat na drie pogingen tot ongeautoriseerde toegang het betreffende account wordt geblokkeerd en alleen door een geautoriseerde beheerder volgens een vaste procedure kan worden vrijgegeven. G. Functie-eisen in functieomschrijvingen Geen bevindingen met impact Medium of Hoog. H. Aanstellen nieuwe medewerkers 1. Incidenteel geldt dat medewerkers van leveranciers van een interceptie systeem niet gescreend zijn en géén geheimhoudingsverklaring hebben ondertekend Incidenteel blijken de medewerkers van de leverancier van het interceptie systeem niet gescreend. De integriteit en antecedenten van de personen die het interceptie systeem leveren, installeren en onderhouden is hierdoor niet gewaarborgd. Tevens hebben deze medewerkers géén geheimhoudingsverklaring ondertekend. Deze twee leemten vormen een risico voor de integriteit, exclusiviteit en authenticiteit van de getapte boodschappen. Wij adviseren dat interceptie organisaties er op toe zien dat medewerkers van leveranciers worden gescreend en dat zij een geheimhoudingsverklaring ondertekenen. 2. Voor alle interceptie organisaties geldt dat vastgelegde voorschriften en procedures aangaande informatiebeveiliging ontbreken. In alle interceptie organisaties ontbreken vastgelegde werkinstructies en procedures met daarin opgenomen maatregelen ten aanzien van informatiebeveiliging.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
24
Het risico bestaat dat in de praktijk niet wordt gewerkt zoals gewenst uit oogpunt van interne controle en beveiliging is gewenst. Wij adviseren dat interceptie organisaties werkinstructies en procedures met daarin opgenomen maatregelen ten aanzien van informatiebeveiliging vastleggen en er op toe te zien dat deze worden nageleefd. I. Fysieke beveiliging 1. Incidenteel geldt dat toegang tot de computerruimte van de interceptie organisatie niet is beperkt tot medewerkers van de interceptie organisatie. Incidenteel geldt dat niet-beheerders zich begeven in de computerruimte waar het interceptie systeem is opgesteld. Deze niet-beheerders worden in dit geval ook niet begeleid door een geautoriseerd beheerder. Wij adviseren toegang tot de computerruimte van de interceptie organisatie slechts toe te staan voor geautoriseerde beheerders of aan personen onder begeleiding van deze geautoriseerde beheerders. 2. Voor het merendeel van de interceptie organisaties geldt dat er geen eisen vanuit de interceptie organisaties zijn opgelegd aangaande de plaatsing en de fysieke beveiliging van de uitwerkterminals. Toegang tot de getapte boodschappen vindt plaats via uitwerkterminals. Het merendeel van de interceptie organisaties acht zich niet verantwoordelijk voor de beveiliging van deze uitwerkterminals en legt hierdoor ook geen eisen op aan de gebruikersorganisatie inzake de fysieke beveiliging. In combinatie met de onvoldoende logische toegangsbeveiliging is de interceptie organisatie niet in staat de exclusiviteit van getapte boodschappen te waarborgen. Wij adviseren dat de interceptie organisatie beschikt over vastgelegde afspraken met partijen over de beveiliging van uitwerkstations, dat deze afspraken worden geïmplementeerd en dat de naleving hiervan wordt gecontroleerd. 3. Voor alle interceptie organisaties geldt dat er geen administratie wordt bijgehouden van bezoekers van kritische ruimten. Het ontbreken van een administratie van bezoekers (niet-beheerders) van kritische ruimten ontneemt de interceptie organisaties de mogelijkheid om, in geval van onregelmatigheden tijdens bezoeken, deze gebeurtenissen terug te voeren naar de bezoeker. Wij adviseren dat interceptie organisaties een administratie bijhouden van bezoekers (nietbeheerders) van kritische ruimten.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
25
J. Werkplekbeveiliging 1. Voor het merendeel van de interceptie organisaties geldt dat er geen eisen vanuit de interceptie organisaties zijn opgelegd aangaande de logische beveiliging van de uitwerkterminals. Het ontbreken van deze eisen betekent, dat niet gewaarborgd is dat uitwerkterminals geen mogelijkheden bevatten om gegevens te exporteren. Tevens is niet gewaarborgd dat in alle gevallen schermbeveiliging en automatisch uitloggen actief is; dit is in de praktijk ook vastgesteld. In combinatie met de onvoldoende logische beveiliging van de interceptie systemen vormt dit een risico voor exclusiviteit van getapte boodschappen. Incidenteel geldt dat het mogelijk en niet ondenkbaar is dat uitwerkstations voorzien zijn van een Internet verbinding. Wij adviseren dat de interceptie organisatie beschikt over vastgelegde afspraken met partijen over de beveiliging van uitwerkstations, dat deze afspraken worden geïmplementeerd en dat de naleving hiervan wordt gecontroleerd. K. Monitoring en logging 1. Voor het merendeel van de interceptie organisaties geldt dat vastlegging van sommige essentiële gebeurtenissen in of rond het interceptie systeem niet plaatsvindt. Het niet vastleggen van gebeurtenissen zoals beheeractiviteiten, mislukte inlogpogingen, gebruik van speciale bevoegdheden, wijzigen van getapte boodschappen en het wijzigen en uitgeven van autorisaties betekent dat geen mogelijkheid bestaat om achteraf controles uit te voeren op deze activiteiten en gebeurtenissen in het interceptie systeem. Mogelijk inbreuken op de integriteit, exclusiviteit of authenticiteit van getapte boodschappen worden hierdoor wellicht niet vastgesteld. Tevens is de oorzaak of dader van deze mogelijke inbreuken niet te achterhalen omdat de audit-trail ontbreekt. Wij adviseren alle gebeurtenissen die mogelijk de authenticiteit, exclusiviteit of integriteit van de getapte boodschappen beïnvloeden vast te leggen. 2. Voor het merendeel van de interceptie organisaties geldt dat géén alarmering aan beheerders plaatsvindt bij gebeurtenissen met mogelijke invloed op de integriteit of authenticiteit van getapte boodschappen. Voor het merendeel van de interceptie faciliteiten is het niet mogelijk om bij ‘denial of service’ aanvallen op de aanbieder interface of bij mislukte inlogpogingen automatisch een alarm door het interceptie systeem te laten genereren.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
26
Incidenteel geldt dat het in het geheel niet mogelijk is om het interceptie systeem alarmen te laten genereren op basis van vooraf gedefinieerde gebeurtenissen. Hierdoor is het in principe mogelijk dat aanvallers kunnen realiseren dat er geen vrije lijnen zijn voor de aflevering van getapte boodschappen. Wij adviseren binnen het loggingmechanisme te definiëren welke gebeurtenissen tot een alarmmelding leiden en op welke manier en aan wie dit alarm wordt gegenereerd. Hierbij dienen minimaal ‘denial of service’ aanvallen op de telco/isp interface en herhaalde mislukte telco/isp authenticaties te leiden tot een alarmmelding. 3. Voor het merendeel van de interceptie organisaties geldt dat loggegevens te wijzigen zijn. Door de mogelijkheid van wijzigen of verwijderen van loggegevens is de integriteit van de gegevens in de logfiles niet gewaarborgd. Het risico bestaat dat ongeautoriseerde activiteiten binnen het interceptie systeem, met impact op de integriteit van getapte boodschappen, niet meer te achterhalen zijn in de logging en niet kunnen worden toegewezen aan een persoon. Wij adviseren loggegevens te beschermen tegen manipulatie. 4. Voor alle interceptie organisaties geldt dat loggegevens niet periodiek door een onafhankelijke auditor worden geanalyseerd. Door het ontbreken van een periodieke analyse door een onafhankelijke auditor op trends en relevante gebeurtenissen is het risico aanwezig dat activiteiten of gebeurtenissen die de integriteit, exclusiviteit en authenticiteit van het interceptie systeem en getapte boodschappen beïnvloeden niet worden geïdentificeerd. Wij adviseren loggegevens periodiek te laten analysen door de auditor op relevante gebeurtenissen en trends. L. Beleid 1. Voor alle interceptie organisaties geldt dat er geen informatiebeveiligingsbeleid is vastgelegd. Door het ontbreken van een vastgelegd informatiebeveiligingsbeleid voor de interceptie organisatie met specifieke maatregelen ten aanzien van informatiebeveiliging binnen de interceptie organisatie bestaat het risico dat in de praktijk niet wordt gewerkt zoals gewenst uit oogpunt van interne controle en beveiliging is gewenst. Wij adviseren de interceptie organisaties een informatiebeveiligingsbeleid vast te leggen met daarin maatregelen ten aanzien van informatiebeveiliging binnen de interceptie organisatie op basis van risicoanalyse.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
27
M. Verantwoordelijkheden 1. Voor alle interceptie organisaties geldt dat er geen controle plaatsvindt op informatiebeveiliging. Naast het ontbreken van een informatiebeveiligingsbeleid binnen de interceptie organisaties vindt er geen periodieke controle plaats binnen de interceptie organisaties met betrekking tot informatiebeveiliging. Hierdoor wordt niet vastgesteld of men binnen de interceptie organisatie de praktijk werkt zoals gewenst uit oogpunt van beveiliging. Wij adviseren een periodieke controle in te stellen op naleving van vastgelegde maatregelen met betrekking tot informatiebeveiliging in het informatiebeveiligingsbeleid. N. Interne controle en controleprogramma’s Geen bevindingen met impact Medium of Hoog. O. Functiescheiding 1. Voor alle interceptie organisaties geldt dat er géén functie van auditor aanwezig is. Door afwezigheid van een auditor in de interceptie organisatie vindt er géén controle plaats op de werkzaamheden binnen de interceptie organisatie en het bijbehorende interceptie systeem. De afwezigheid van structurele controle (door een auditor) leidt tot het risico dat gebeurtenissen die de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen beïnvloeden niet of te laat worden geïdentificeerd. Wij adviseren dat interceptie organisaties een onafhankelijke auditor aanwijzen die structurele controle uitoefent binnen de interceptie organisatie. 2. Incidenteel geldt dat er geen formele beheersorganisatie rondom een interceptie systeem aanwezig is. De afwezigheid van een formele beheersorganisatie rondom een interceptie systeem betekent dat verantwoordelijkheden binnen de interceptie organisatie met betrekking tot technisch en operationeel beheer van het interceptie systeem en de beveiliging hiervan niet zijn beschreven. Hierdoor is niet gewaarborgd dat deze werkzaamheden juist worden uitgevoerd binnen de interceptie organisatie en is de continuïteit van deze werkzaamheden in gevaar. Tevens wordt in dit geval op géén enkele wijze inzicht aan het management of de eigenaar van het systeem verschaft over het functioneren van het systeem.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
28
Wij adviseren altijd een beheerorganisatie rondom het interceptie systeem in te richten en te formaliseren. Dit betekent ondermeer dat de taken en verantwoordelijkheden met betrekking tot technisch en operationeel beheer van het interceptie systeem zijn beschreven. Onderdeel hiervan moet zijn de wijze en frequentie van rapportering van de interceptie organisatie aan de eigenaar van het systeem. P. Incidentenbeheer 1. Incidenteel geldt dat de interceptie organisatie niet over voldoende mogelijkheden beschikt om incidenten of mogelijke incidenten te signaleren en gecontroleerd af te handelen. Incidenteel geldt dat interceptie organisaties niet beschikken over een signaleringsmechanisme van incidenten of niet beschikken over een gecontroleerde procedure voor het afhandelen van geconstateerde incidenten. Optredende storingen, met mogelijke impact op integriteit, exclusiviteit en authenticiteit van getapte boodschappen, worden hierdoor niet of te laat ontdekt. Tevens bestaat het risico dat geconstateerde incidenten niet op een gecontroleerde wijze worden afgehandeld. Wij adviseren de interceptie organisaties maatregelen te implementeren die het mogelijk maken om incidenten of mogelijke incidenten te signaleren en gecontroleerd af te handelen. Q. Probleembeheer Geen bevindingen met impact Medium of Hoog.
R. Wijzigingsbeheer 1. Voor alle interceptie organisaties geldt dat er geen vastgelegde procedures voor wijzigingsbeheer aanwezig zijn. Het niet vastliggen van procedures voor wijzigingsbeheer betekent niet dat in de praktijk altijd sprake is van ongecontroleerde wijzigingen. Echter, het risico bestaat dat in de praktijk niet wordt gewerkt zoals gewenst uit oogpunt van interne controle en beveiliging. Wanneer wijzigingen ongecontroleerd worden doorgevoerd, vormt dit een risico voor de integriteit en exclusiviteit van het interceptie systeem en de getapte boodschappen. Wij adviseren de interceptie organisatie organisatorische maatregelen te implementeren, waaronder een vastgelegde procedure, die waarborgen dat alle wijzigingen in apparatuur, software, netwerkcomponenten of procedures die de beveiliging van de gegevens en informatie kunnen beïnvloeden op gecontroleerde wijze plaatsvinden en worden vastgelegd.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
29
2. Incidenteel geldt dat interceptie organisaties niet beschikken over een onderhoudscontract voor het interceptie systeem. Interceptie organisaties zijn veelal in grote mate afhankelijk van de leverancier voor functionele aanpassingen of onderhoud aan het systeem.Voor een tweetal interceptie organisaties geldt dat men niet beschikt over een onderhoudscontract met de leverancier van het interceptie systeem. Hierdoor ontbreekt de garantie dat opgetreden storingen in het interceptie systeem, die niet binnen de interceptie organisatie kunnen worden opgelost, door de leverancier worden behandeld. Dit vormt een risico voor de integriteit en exclusiviteit van het interceptie systeem en de getapte boodschappen. Tevens betekent dit dat de continuïteit van het interceptie systeem niet is gewaarborgd. Wij adviseren dat interceptie organisaties een onderhoudscontract afsluiten met de leverancier van het interceptie systeem waardoor het juiste en continu functioneren van het interceptie systeem wordt gewaarborgd. 3. Incidenteel geldt dat onvoldoende functiescheiding in het wijzigingsproces aanwezig is en dat wijzigingen van het interceptie systeem niet of onvoldoende worden getest. Niet in alle gevallen worden wijzigingen, aangeleverd door de leverancier of door medewerkers van de interceptie organisatie, getest voordat ze in productie worden genomen. Het risico bestaat dat deze wijzigingen het functioneren van het interceptie systeem of beveiligingsmaatregelen hierbinnen negatief beïnvloedt. Tevens is incidenteel geen sprake van functiescheiding binnen het wijzigingsproces, waardoor één persoon zowel de wijziging kan uitvoert en accepteert. Beide gevallen vormen een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen. Wij adviseren de interceptie organisaties binnen het wijzigingsproces minimaal functiescheiding te implementeren tussen: de indiener van de wijziging en degene die de wijziging goedkeurt, en de uitvoerder van de wijziging en degene die de uitgevoerde wijziging accepteert. Tevens adviseren wij middels testen te waarborgen dat wijzigingen het functioneren van het interceptie systeem of beveiligingsmaatregelen hierbinnen niet negatief beïnvloeden. 4. Voor het merendeel van de interceptie organisaties geldt dat er geen administratie en/of documentatie van doorgevoerde wijzigingen plaatsvindt Door de afwezigheid van een overzicht van doorgevoerde wijzigingen en afwezigheid van up-to-date documentatie heeft men géén overzicht van de huidige van de functionaliteit van het interceptie systeem. In het geval van onderhoud of wijzigingen aan het interceptie systeem bestaat het risico dat de impact van wijzigingen niet adequaat kan worden vastgesteld. Dit is een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
30
Wij adviseren dat interceptie organisaties zorgdragen dat alle doorgevoerde wijzigingen leiden tot aanpassing van de documentatie (indien noodzakelijk) en de versie verslaglegging van de betreffende software. 5. Incidenteel geldt dat de leverancier remote onderhoud uitvoert op het interceptie systeem zonder voldoende controle vanuit de interceptie organisatie. In deze gevallen wordt de leverancier expliciet geautoriseerd om remote onderhoud uit te voeren, echter wordt achteraf niet gecontroleerd welke activiteiten de leverancier daadwerkelijk heeft verricht. Hierdoor is niet gewaarborgd dat de leverancier geen ongeautoriseerde activiteiten binnen het interceptie systeem heeft uitgevoerd, zoals het wijzigen, verwijderen of exporteren van getapte boodschappen. Wij adviseren dat interceptie organisaties na remote onderhoud door de leverancier, middels logging vaststellen dat de leverancier geen ongeautoriseerde activiteiten heeft uitgevoerd. Bij voorkeur vindt deze controle real-time plaats. 6. Voor het merendeel van de interceptie organisaties geldt dat er geen vastgelegd beleid of instructie is om security updates of patches te installeren. Door het ontbreken van vastgesteld beleid of instructies bestaat het risico dat in de praktijk noodzakelijk security updates of patches niet worden aangepast. Zonder de juiste en meest recente security updates vanuit de leveranciers voor de systemen, is de beveiliging van deze systemen niet gewaarborgd. Wij adviseren dat interceptie organisaties beleid of procedures vaststellen om security updates of patches te installeren. S. Capaciteitsbeheer 1. Voor alle interceptie organisaties geldt dat er geen of een ontoereikend mechanisme is om de volledigheid van de taps te kunnen vaststellen. Het ontbreken van een ontoereikend mechanisme betekent dat de interceptie organisaties niet kunnen waarborgen dat alle boodschappen zoals door de aanbieder aangeboden, ook daadwerkelijk zijn vastgelegd. Het is bekend dat aan zowel de zijde van de aanbieder als aan de zijde van de interceptie organisatie gesprekken ontbreken. Dit vormt een risico voor de integriteit van de getapte boodschappen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
31
Wij adviseren dat interceptie organisaties een mechanisme implementeren waarmee de volledigheid van taps kan worden vastgesteld, bijvoorbeeld door overzichten van de aanbieders op te vragen en te vergelijken met de overzichten uit het interceptie systeem. T. Beschikbaarheidsbeheer en continuïteit 1. Voor het merendeel van de interceptie organisaties geldt dat er geen vastgelegde uitwijkof calamiteitenplannen aanwezig zijn. Het ontbreken van uitwijk- en calamiteitenplannen heeft als gevolg dat in het geval van uitval of blijvend onvolledig functioneren van het interceptie systeem niet kan worden overgeschakeld op een vervangend interceptie systeem. Dit vormt een risico voor de continuïteit van het interceptie systeem zodat het tapproces hierdoor niet gewaarborgd is. Wij adviseren dat interceptie organisaties een uitwijk- of calamiteitenplan vaststellen op basis van een risicoanalyse. 2. Incidenteel geldt dat er geen back-ups worden gemaakt van het interceptie systeem en de getapte boodschappen. Incidenteel geldt dat binnen de interceptie organisatie back-ups van het interceptie systeem en de getapte boodschappen of archieven ontbreken. Dit betekent enerzijds dat het niet mogelijk is een roll-back uit te voeren, en anderzijds dat het niet mogelijk is getapte boodschappen beschikbaar te stellen bij een calamiteit in de interceptie organisatie. Dit vormt een risico voor de integriteit van de getapte boodschappen. Tevens is de continuïteit van het interceptie systeem en het tapproces hierdoor niet gewaarborgd. Wij adviseren dat interceptie organisaties back-ups te maken van het interceptie systeem, getapte boodschappen en archieven en deze op een externe locatie te bewaren. Tevens dient hiervan een administratie binnen de interceptie organisatie aanwezig te zijn. U. Autorisatiebeheer 1. Voor het merendeel van de interceptie organisaties geldt dat er vanuit de interceptie organisaties geen eisen zijn opgelegd aan configuratie van de uitwerkstations. Zie analyse C2 voor de beschrijving en aanbeveling. 2. Incidenteel geldt dat de configuratie van uitwerkterminals door een gebruiker te wijzigen is
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
32
Het wijzigen van de configuratie van een uitwerkterminal geeft de gebruiker de mogelijkheid om middelen op de uitwerkterminal te plaatsen om getapte boodschappen te exporteren naar gegevensdragers of andere werkstations. Dit is een risico voor de exclusiviteit van de getapte boodschappen. Wij adviseren dat uitwerkterminals zodanig geconfigureerd zijn dat de configuratie niet door een gebruiker te wijzigen is of dat bij eventuele wijziging de beheerders gealarmeerd worden. V. Beveiliging van apparatuur en netwerken 1. Incidenteel geldt dat gebruikers binnen de tapapplicatie toegang hebben of kunnen verkrijgen tot getapte boodschappen waarvoor zij niet geautoriseerd zijn. Voor het merendeel van de in gebruik zijnde interceptie systemen geldt dat gebruikers (met account) zichzelf of anderen rechten en toegang kunnen toe-eigenen tot getapte boodschappen en delen van het systeem waarvoor zij niet zijn geautoriseerd. In alle gevallen geldt dat met deze toegangsrechten getapte boodschappen ingezien kunnen worden, waardoor de exclusiviteit is aangetast. Incidenteel geldt dat wijzigen of verwijderen van getapte boodschappen én wijzigen van autorisaties in het interceptie systeem mogelijk is. Dit is een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen. Wij adviseren dat interceptie organisaties maatregelen implementeren die iedere vorm van netwerktoegang anders dan functioneel noodzakelijk uitsluit. 2. Incidenteel geldt dat externen (buiten de politie) de toegangsbeveiliging tot het netwerk waarin het interceptie systeem actief is remote beheren, zonder dat hierop controle plaatsvindt. Incidenteel wordt de toegangsbeveiliging tot het netwerk (bijvoorbeeld: router) van de interceptie organisatie beheert door een externe partij, volgens vastgelegde afspraken. Door het ontbreken van een controle door de interceptie organisatie op het beheer van deze toegangsbeveiliging, is niet gewaarborgd dat de toegang tot het netwerk en het hierop draaiende interceptie systeem met de getapte boodschappen beperkt blijft tot geautoriseerde personen. Dit vormt een risico voor de exclusiviteit van het interceptie systeem en de getapte boodschappen. Wij adviseren dat interceptie organisaties externe partijen controleert op naleving van vastgelegde afspraken. 3. Voor het merendeel van de interceptie organisaties geldt dat er géén vastgelegde procedures, instructies en afspraken aanwezig zijn voor onderhoud en beheer.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
33
Door het ontbreken van vastgelegde procedures voor onderhoud en beheer bestaat het risico dat in de praktijk niet wordt gewerkt zoals gewenst uit oogpunt van interne controle en beveiliging. Hierdoor is de integriteit, exclusiviteit en authenticiteit van getapte boodschappen niet gewaarborgd. Tevens vormt het ontbreken van procedures een risico voor de continuïteit van het beheer. Incidenteel geldt dat er géén onderhoud van het interceptie systeem plaatsvindt of dat voor onderhoud gebruik wordt gemaakt van verouderde documentatie. Wij adviseren dat interceptie organisaties procedures implementeren ter waarborging van de beschikbaarheid, exclusiviteit en integriteit van getapte boodschappen in geval van onderhoud- of beheerwerkzaamheden. 4. Incidenteel geldt dat de onderlinge communicatie tussen componenten van het interceptie systeem en de communicatie met de uitwerkstations niet goed is beveiligd. Door de afwezigheid van versleuteling van gegevens tijdens communicatie en door afwezigheid van een trusted netwerk ten behoeve van de communicatie, is niet gewaarborgd dat communicatie alleen leesbaar is voor de bedoelde ontvanger. Incidenteel geldt tevens dat bij authenticatie tussen de verschillende componenten (inclusief uitwerkstations) niet gegarandeerd is dat gecommuniceerd wordt met de juiste apparatuur. Dit vormt een risico voor de exclusiviteit van de getapte boodschappen. Incidenteel geldt dat het mogelijk is vanaf geautoriseerde werkstations alle getapte boodschappen in te zien, te wijzigen en te verwijderen. Wij adviseren maatregelen te implementeren die waarborgen dat de onderlinge communicatie tussen componenten van het interceptie systeem en de communicatie met de uitwerkstations is beveiligd. Tevens adviseren wij toegang tot het netwerk van buitenaf slechts toe te staan vanaf specifieke vooraf gedefinieerde netwerkadressen. W. Bescherming tegen kwaadaardige software 1. Voor het merendeel van de interceptie organisaties geldt dat er geen of onvoldoende maatregelen tegen een virusbesmetting zijn getroffen. Het niet geïmplementeerd hebben van maatregelen tegen een virusbesmetting heeft als gevolg dat besmettingen niet tijdig gesignaleerd worden of niet adequaat bestreden worden. Virusbesmettingen kunnen onder andere via gegevensdragers of via het netwerk verkregen worden. Het ontbreken van toereikende maatregelen vormt een risico voor de exclusiviteit en integriteit van de getapte boodschappen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
34
Wij adviseren dat interceptie organisaties maatregelen implementeren ter voorkoming van virusbesmetting en medewerkers te instrueren hoe men moet handelen in geval van een virusbesmetting. Dit betekent onder andere dat dient te worden voorzien in anti-virus programmatuur die volgens vastgesteld beleid wordt geïnstalleerd en actueel wordt gehouden. 3.2.2
Analyse inzake de technische beveiliging van de interceptie systemen X. Netwerktoegang 1. Voor het merendeel van de onderzochte interceptie systemen geldt dat personen met logische toegang tot uitwerkstations of het netwerk (zoals maar niet beperkt tot gewone gebruikers) buiten de tapapplicatie om verregaande privileges kunnen vergaren in het interceptie systeem waaronder inzage tot getapte boodschappen waarvoor zij niet geautoriseerd. Voor het merendeel van de onderzochte interceptie systemen geldt dat personen met logische toegang tot uitwerkstations of het netwerk (zoals, maar niet beperkt tot, gewone gebruikers) zichzelf of anderen rechten en toegang kunnen toe-eigenen tot getapte boodschappen en delen van het interceptie systeem waarvoor zij niet zijn geautoriseerd. In alle gevallen is dit het gevolg van het feit dat het interceptie systeem voor het afdwingen van beveiliging op cruciale wijze vertrouwt op de (lokale) cliëntsoftware op de uitwerkstations. Meer in het bijzonder; in alle gevallen wordt gebruik gemaakt van een centrale database waar de volledige lees en schrijf toegang toe wordt afgeschermd door de cliëntsoftware. Theoretisch gezien is dit een zwakke opzet, die bovendien in alle gevallen praktisch eenvoudig omzeild bleek te kunnen worden. In alle gevallen geldt dat met deze toegangsrechten op de database in principe: Onbevoegde inzage van getapte boodschappen mogelijk is. Onbevoegde wijziging of vernietiging van getapte boodschappen mogelijk is. Onbevoegde wijzigingen in autorisaties in het interceptie systeem mogelijk zijn. Onbevoegde wijziging of vernietiging van log gegevens mogelijk is. Incidenteel is het zelfs relatief eenvoudig mogelijk om beschikking te krijgen over het wachtwoord van de beheerder zodat verdere manipulatie kan plaatsvinden vanuit de standaard uitwerk software. We merken op dat deze constatering in het bijzonder betekent dat indien een van de bedoelde interceptie systemen meerdere korpsen of diensten bedient dat dan de compartimentering van tapgegevens derhalve niet gegarandeerd is: er kan niet worden uitgesloten dat de ene organisatie toegang heeft tot de gegevens van de ander. Een van de bedoelde interceptie systemen werd gebruikt in een dergelijke opzet.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
35
Wij adviseren maatregelen te implementeren in interceptie systemen die iedere vorm van netwerktoegang anders dan functioneel noodzakelijk uitsluit en meer in bijzonder gebruik te maken van het uitgangspunt dat het afdwingen van beveiliging binnen een interceptie systeem moet worden uitgevoerd door processen/computers die vertrouwd kunnen worden door het interceptie systeem. Typisch wordt hiervoor gebruik gemaakt van een applicatie (web-)server waar gebruikers op aanloggen met (web) cliëntsoftware; de applicatie server dwingt de beveiliging af. 2. Incidenteel geldt dat de interceptie systemen niet voorzien zijn van een firewall of access control functionaliteit (op netwerkadressen). Voor een beperkt aantal van de in gebruik zijnde interceptie systemen geldt dat deze niet voorzien zijn van een adequate firewall of access control functionaliteit. Een adequaat ingerichte firewall en access control functionaliteit zorgen ervoor dat alleen gegevens binnenkomen en benaderd mogen worden in de interceptie systemen vanaf specifiek aangegeven adressen en gebruikmakend van vooraf aangegeven protocollen. Het ontbreken van een firewall en access control functionaliteit is een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen. Wij adviseren om de interceptie systemen te voorzien van een adequate firewall en access control functionaliteit of om adequate compenserende maatregelen te nemen. Y. Encryptie 1. Voor het merendeel van de onderzochte interceptie systemen geldt dat het data verkeer tussen de verschillende componenten van het interceptie systeem niet adequaat versleuteld wordt. Indien data verkeer niet versleuteld worden kunnen onder meer wachtwoorden worden onderschept. Door het nemen van alternatieve maatregelen is het mogelijk om het data verkeer ook zonder encryptie goed te beveiligen. Een voorbeeld hiervan is om het data verkeer over een trusted netwerk te laten plaatsvinden. Het ontbreken van adequate beveiliging van data verkeer tussen de componenten van een interceptie systeem is in de eerste plaats een risico voor de exclusiviteit. Bescherming tegen risico’s voor de authenticiteit en de integriteit van het interceptie systeem en de getapte boodschappen in deze interceptie systeem is tevens niet gewaarborgd. Wij adviseren om data verkeer tussen de componenten van het interceptie systeem adequaat te versleutelen of om geschikte compenserende maatregelen te treffen. In de opzet van een cliënt-(applicatie)server wordt vaak gebruik gemaakt van de web- en cryptiestandaard (SSL/TLS) voor de versleuteling van dataverkeer tussen cliënt en server.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
36
Z. Authenticatie 1. Voor het merendeel van de interceptie systemen geldt dat de onderlinge authenticatie tussen gebruikers, componenten en het interceptie systeem niet adequaat is ingericht Voor een aantal interceptie systemen geldt dat de authenticatie tussen het interceptie systeem en de werkstations niet adequaat is ingericht, met name omdat zij omzeild kan worden. Zie de eerdere analyse rond checklist nummer X. Incidenteel geldt dat authenticatie plaatsvindt aan de cliënt kant in plaats van aan de server kant. Hierdoor is het in principe mogelijk met behulp van een aangepaste cliënt het authenticatiemechanisme te omzeilen. Door het gebrek aan adequate authenticatie bestaat in principe de mogelijkheid om op het interceptie systeem en de getapte boodschappen wijzigingen door te voeren. Dit vormt een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen. Wij adviseren om met name adequate authenticatie tussen het interceptie systeem en de uitwerkstations in te richten. Hiervoor kan gedacht worden aan onder andere cliënt-server authenticatie, server-client authenticatie, gebruik van sterke en adequaat versleutelde wachtwoorden en het gebruik van access control lists op netwerkadressen binnen het interceptie systeem. Zie ook de aanbeveling gedaan bij checklist nummer X. ZA.
Operating systems
1. Voor het merendeel van de onderzochte interceptie systeem geldt dat er geen adequate maatregelen zijn genomen om de integriteit van het systeem te bewaken. Adequaat gebruik van access control lists, het loggen van toegang tot kritische objecten en het opslaan en het periodiek verifiëren van controlegetallen van kritische bestanden zijn maatregelen die getroffen kunnen worden om de integriteit van het interceptie systeem te waarborgen. Zonder garantie over de integriteit van het interceptie systeem is de integriteit en authenticiteit van de getapte boodschappen ook niet te waarborgen. Wij adviseren adequate maatregelen te implementeren om de integriteit van het interceptie systeem te waarborgen. Voorbeelden hiervan zijn het adequaat gebruik van access control lists, het loggen van alle toegang tot kritische objecten en het opslaan van hashes van kritische bestanden en deze periodiek verifiëren 2. Incidenteel geldt dat vanuit de leverancier geen adequate ondersteuning wordt gegeven bij het interceptie systeem voor het installeren en up to date houden van de security van het interceptie systeem.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
37
Zonder de juiste security settings en de meest recente security updates voor de interceptie systemen is de beveiliging daarvan niet gewaarborgd. Daar het configureren van security settings en installeren van (security) updates ook risico’s kan betekenen voor de stabiliteit van het systeem is het van belang dat leveranciers hier ondersteuning bij geven. Leveranciers geven echter géén of te weinig ondersteuning bij het installeren van het interceptie systeem en het configureren van de security settings. Tevens vindt er géén of te weinig ondersteuning plaats aan de interceptie organisatie bij het verkrijgen en installeren van de meest recente security gerelateerde patches. Dit vormt een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen. Tevens is de continuïteit van het interceptie systeem hierdoor niet gewaarborgd. Wij adviseren dat afspraken met de leveranciers worden gemaakt die waarborgen dat het interceptie systeem over de juiste security settings beschikt en dat de meest recente security updates worden geïnstalleerd. 3. Incidenteel geldt dat onderzochte interceptie systeem onnodig draaien onder supervisor (‘root’, ‘Administrator’) rechten. Het gebruik van supervisor rechten komt op twee verschillende manieren voor. De eerste is dat uitwerkstations onder administrator rechten werken. De tweede manier is dat beheerders voor hun dagelijks werkzaamheden op servers gebruik maken van superuser rechten. Beide gevallen van het gebruik van superuser rechten zijn ongewenst, aangezien eindgebruikers en beheerders uitgebreidere rechten wordt gegeven dan dat ze nodig hebben voor hun dagelijkse werkzaamheden. Dit veelvuldige gebruik van superuser rechten is een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen. Verder geldt incidenteel dat het superuser wachtwoord eenvoudig is en tevens algemeen bekend onder alle beheerders. Wij adviseren om het gebruik van supervisor rechten in de dagelijkse werkzaamheden van beheerders en eindgebruikers zover te minimaliseren, dat de goede werking van het tapproces en de beveiliging van het interceptie systeem nog gewaarborgd zijn. Verder adviseren wij om het superuser wachtwoord sterk te maken en alleen te gebruiken indien hoogst noodzakelijk. ZB.
Systeemklok
Geen bevindingen met impact Medium of Hoog. ZC.
Collectie
1. Voor het merendeel van de interceptie organisaties geldt dat het interceptie systeem niet de mogelijkheid biedt om controlegetallen over alle inkomende getapte boodschappen te bepalen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
38
Voor een aantal interceptie systemen geldt dat het binnen de collectiefunctionaliteit niet mogelijk is om alle inkomende getapte boodschappen (inclusief volgnummer en tijdsindicatie) te voorzien van een betrouwbaar controlegetal zodat later de integriteit en authenticiteit van boodschappen kan worden vastgesteld. Indien hierom gevraagd wordt is het voor de interceptie organisatie niet mogelijk om op aanvraag de integriteit en authenticiteit van één of meerdere boodschappen aan te tonen. Het gebruik van deze getapte boodschappen als bewijslast zal daardoor bemoeilijkt kunnen worden. Wij adviseren alle inkomende getapte boodschappen (inclusief volgnummer en tijdsindicatie) te voorzien van een betrouwbaar controlegetal zodat (later) de integriteit en authenticiteit van boodschappen kan worden vastgesteld. In het geval van analoge data dient dit te worden gedaan direct nadat A/D conversie heeft plaatsgevonden. 2. Incidenteel geldt dat getapte boodschappen in het interceptie systeem verwijderd kunnen worden zonder dat hier expliciet opdracht voor gegeven is. Bij interceptie systemen wordt in het algemeen gebruik gemaakt van een FIFO (First In, First Out) opzet voor opslag: zodra de dataopslag vol is, worden de oudste gesprekken overschreven met nieuwe. Bij een incidenteel interceptie systeem wordt voor overschrijven géén controle uitgevoerd of een te overschrijven gesprek wel of niet al gearchiveerd is. Dit vormt een risico voor de integriteit van de getapte boodschappen. Wij adviseren om interceptie systemen zodanig in te richten dat binnengekomen getapte boodschappen worden bewaard tenzij/totdat er een specifieke opdracht tot wissen van een zaak of een deel van een zaak is gegeven. ZD.
Analyse
Geen bevindingen met impact Medium of Hoog. ZE.
Archivering
1. Voor het merendeel van de onderzochte interceptie systemen geldt dat er geen maatregelen zijn geïmplementeerd om achteraf de integriteit en authenticiteit van gearchiveerde gegevens vast te stellen. In een aantal interceptie systemen is van de gearchiveerde boodschappen niet na te gaan of deze overeenkomen met de originele getapte boodschappen. Dit is een risico voor de integriteit en authenticiteit van de getapte boodschappen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
39
Wij adviseren een controlegetal dat door de collectiefunctionaliteit is bepaald bij binnenkomst samen met de oorspronkelijke gegevens te archiveren en tevens de overeenkomst tussen dit controlegetal en een opnieuw berekend controlegetal over de gearchiveerde getapte boodschappen vast te stellen. ZF.
Presentatie en toegang
1. Incidenteel geldt dat in de gebruikersapplicaties niet in te stellen is dat deze na een vooraf ingestelde tijd van inactiviteit automatisch uitloggen. Het automatisch uitloggen van de applicatie van zowel eindgebruikers als beheerders na een bepaalde periode geeft ongeautoriseerde personen niet de mogelijkheid om gebruik te maken van de applicatie als de gebruiker is vergeten uit te loggen. Indien automatisch uitgelogd wordt is het voor ongeautoriseerde personen moeilijker om toegang tot de getapte boodschappen of bepaalde rechten binnen het interceptie systeem te verkrijgen. Het niet automatisch uitloggen is een risico voor de exclusiviteit van het interceptie systeem en van de getapte boodschappen. Wij adviseren om interceptie systemen zodanig in te richten dat gebruikersapplicaties na een vooraf ingestelde tijd van inactiviteit automatisch uitloggen. ZG.
Operationele export
1. Voor het merendeel van de onderzochte interceptie systemen geldt dat essentiële gegevens over geëxporteerde getapte boodschappen niet worden vastgelegd. Het merendeel van de onderzochte interceptie systemen is niet in staat om van alle geëxporteerde getapte boodschappen minimaal vast te leggen welke gegevens zijn geëxporteerd, door wie, wanneer en met welk doel. Binnen het merendeel van de interceptie organisaties wordt wel een eigen administratie bijgehouden voor deze gegevens. Echter er is géén waarborg dat alle exporten die vanuit het interceptie systeem worden gemaakt in de administratie van de interceptie organisatie worden geregistreerd. Dit is een risico voor de exclusiviteit van de getapte boodschappen. Wij adviseren om interceptie systemen zodanig in te richten dat vastgelegd wordt welke gegevens het systeem hebben verlaten via operationele export, met welk doel, wanneer en door wie. 2. Incidenteel geldt dat het voor eindgebruikers eenvoudig is om zichzelf vanaf een werkstation het recht toe te kennen om getapte boodschappen te exporteren.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
40
In een enkel interceptie systeem geldt dat eindgebruikers door een simpele aanpassing in het initialisation file van de tapapplicatie zichzelf de rechten kunnen toekennen voor exporteren van getapte boodschappen. Door het blokkeren van een aantal disk drives en Internet toegang wordt het daadwerkelijk meenemen van de getapte boodschappen buiten de interceptie organisatie bemoeilijkt. Echter er blijft een risico bestaan voor de exclusiviteit van de getapte boodschappen. Wij adviseren om de interceptie systemen zodanig in te richten dat het voor eindgebruikers niet mogelijk is om zichzelf het recht op het maken van exporten van getapte boodschappen toe te kennen. ZH.
Formele export
1. Incidenteel geldt dat er in het interceptie systeem geen maatregelen genomen zijn om de authenticiteit van geëxporteerde getapte boodschappen aan een rechtbank te kunnen aantonen. Bij incidentiele interceptie systemen geldt dat er géén waarborg gegeven kan worden over de authenticiteit van een formele export doordat er gebruik gemaakt wordt van open (.WAF) standaarden zonder additionele controlegetallen. Het niet kunnen waarborgen van de authenticiteit van een formele export bemoeilijkt het aanvoeren van geëxporteerde getapte boodschappen als bewijslast voor een rechtbank. Dit is een risico voor de authenticiteit van de getapte boodschappen. Bij een incidenteel interceptie systemen wordt om deze reden gebruik gemaakt van een zogenaamd ‘proprietary’ bestandsformaat voor geluid. Het gebruik van open beveiligingsmaatregelen (zoals adequate controlegetallen, digitale handtekeningen) heeft echter onze voorkeur. Wij adviseren om interceptie systemen zodanig in te richten dat de authenticiteit van de geëxporteerde getapte boodschappen verifieerbaar is voor een rechtbank, door middel van een betrouwbaar controlegetal. Indien dit niet mogelijk is dienen de gegevens te worden geëxporteerd naar een write once read many (WORM) opslagmedium. ZI. Verwijderen (bij onherroepelijke zaak) en vernietigen (geheimhouders) gegevens 1. Voor het merendeel van de interceptie systemen geldt dat gegevens op bevel van de (Officier van Justitie) niet, of niet onomkeerbaar kunnen worden verwijderd. Incidenteel geldt dat er in het interceptie systeem überhaupt géén mogelijkheid bestaat om getapte boodschappen te verwijderen/vernietigen. Bij vernietiging wordt vaak alleen de referentie naar de getapte boodschap verwijderd en is de getapte boodschap zelf nog op het interceptie systeem, in het archief of op de gegevensdragers aanwezig. Slechts op termijn wordt deze overschreven met nieuwe informatie. Dit is een risico voor de exclusiviteit van de getapte boodschappen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
41
Wij adviseren om interceptie systemen zodanig in te richten dat onomkeerbare vernietiging (op bevel van de Officier van Justitie) van getapte boodschappen mogelijk is. 2. Incidenteel geldt dat het niet mogelijk is om in een interceptie systeem na te gaan op welke locaties te vernietigen of te verwijderen getapte boodschappen zich bevinden. In een aantal van de onderzochte interceptie systemen is het niet mogelijk om van getapte boodschappen alle locaties van opslag te achterhalen. Als vervanging wordt in de betreffende interceptie organisaties zelf een administratie bijgehouden van een aantal locaties van opslag van de getapte boodschappen (bijvoorbeeld exporten), echter de volledigheid en juistheid van deze administraties zijn niet gewaarborgd. Indien een bevel van de Officier van Justitie tot vernietiging of verwijdering wordt gegeven dan is er géén garantie dat de getapte boodschappen op alle locaties van opslag worden vernietigd/verwijderd. Dit is een risico voor de exclusiviteit van de getapte boodschappen. Wij adviseren om interceptie systemen zodanig in te richten voor iedere getapte boodschap alle locaties van opslag (bijvoorbeeld: ruwe data store, replica van ruwe data store, on-line archief, off-line archief, export) en alle verschijningsvormen (bijvoorbeeld: ruwe data, geanalyseerde data) te achterhalen zijn, teneinde een geheimhoudergesprek volledig te kunnen verwijderen. 3. Incidenteel geldt dat het niet mogelijk is in een interceptie systeem om verkeersgegevens horende bij getapte boodschappen tijdens vernietiging te behouden. Bij een aantal interceptie systemen geldt dat voor alle of voor een bepaald type getapte boodschappen de verkeersgegevens niet bewaard blijven als de getapte boodschappen door het interceptie systeem worden vernietigd. In dit geval is het niet mogelijk om aan de hand van de gegevens uit het interceptie systeem aan te tonen dat vernietiging heeft plaatsgevonden zoals op het bevel van de Officier van Justitie is aangegeven. Wij adviseren om interceptie systemen zodanig in te richten dat het mogelijk is de bronverkeersgegevens van vernietigde en verwijderde getapte boodschappen te bewaren.
ZJ.Autorisatie 1. Voor het merendeel van de onderzochte interceptie systemen geldt dat het onderscheid in autorisatieniveaus binnen het interceptie systeem teniet wordt gedaan door de mogelijkheid om buiten de tapapplicatie om ongeautoriseerd toegang tot delen van het interceptie systeem te krijgen
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
42
Binnen een aantal van de interceptie systemen geldt dat het strikt toekennen van verschillende autorisaties niet afdoende is om de exclusiviteit adequaat te bewaken doordat de implementatie van de logische toegangsbeveiliging (zie de analyse bij checklist nummer X) inadequaat is waardoor het mogelijk is om verregaande privileges te kunnen verkrijgen in het interceptie systeem waaronder inzage tot getapte boodschappen waarvoor zij niet geautoriseerd. Een adequate implementatie van toegangsbeveiliging is een noodzakelijke voorwaarde voor autorisatie. Voor advisering verwijzen wij naar checklist nummer X. 2. Incidenteel geldt dat het niet mogelijk is binnen een interceptie systeem om per beheerder een uniek toegangsaccount aan te maken. In een enkel interceptie systeem wordt door alle beheerders gebruik gemaakt van één generiek account voor toegang tot de (beheer)applicatie en/of onderliggende infrastructuur. Het interceptie systeem biedt op dit moment niet de mogelijkheid om verschillende accounts voor de beheerders aan te maken. Door het gebruik van een generiek account is het niet mogelijk om achteraf te bepalen wie welke handelingen en/of wijzigingen binnen het interceptie systeem heeft uitgevoerd. Wij adviseren om interceptie systemen zodanig in te richten dat het mogelijk is voor elke gebruiker om van een persoonlijk account gebruik te maken. 3. Incidenteel geldt dat voor kritische activiteiten in een interceptie systeem toegang tot de centrale database benodigd is. Voor een enkel interceptie systeem geldt dat het verwijderen of vernietigen van getapte boodschappen plaats moet vinden in de centrale database. Het buiten de applicatie om toegang verkrijgen tot getapte boodschappen is niet wenselijk aangezien het hierdoor vergemakkelijkt wordt om getapte boodschappen aan te passen of te verwijderen. Met deze directe toegang tot de database is het voor de beheerder tevens mogelijk om getapte boodschappen in te zien, waarvoor géén autorisatie is verleend. Dit is een risico voor de integriteit, authenticiteit en exclusiviteit van het interceptie systeem en de getapte boodschappen. Wij adviseren om interceptie systemen zodanig in te richten dat alle kritische activiteiten alleen door daartoe geautoriseerde personen binnen de tapapplicatie uitgevoerd kunnen worden. 4. Incidenteel geldt dat binnen interceptie systemen het niet mogelijk is om de verschillende autorisatie te specificeren benodigd voor het onderhouden van de gewenste functiescheiding.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
43
Binnen een enkel interceptie systeem geldt dat de geïmplementeerde autorisatieniveaus niet voldoende verschillend zijn om de verschillende rollen in het tapproces te ondersteunen. Het gevolg hiervan is dat verschillende personen binnen het tapproces rechten krijgen toegewezen die ze volgens hun rol in het tapproces niet benodigd zijn. Wij adviseren om de autorisatieniveaus binnen interceptie systemen zodanig in te richten dat deze de in het tapproces gewenste functiescheiding ondersteunen. ZK.
Gebruikersbeheer
Geen bevindingen met impact Medium of Hoog. ZL.
Authenticatie
1. Bij alle van de onderzochte interceptie systemen geldt dat niet afgedwongen wordt dat het authenticatiemiddel voldoende sterk is De door het interceptie systeem afgedwongen eisen aan wachtwoorden, van zowel beheerders als eindgebruikers, zijn in alle gevallen onvoldoende om de exclusiviteit van wachtwoorden te verzekeren. Het betreft hier eisen aan de lengte, het voorkomen van gebruik van bepaalde, zwakke wachtwoorden en het verplicht periodiek wijzigen van wachtwoorden. Tevens kan in het merendeel van de gevallen een gebruiker zijn eigen wachtwoord niet veranderen. Wij adviseren om interceptie systemen zodanig in te richten dat afgedwongen wordt dat het authenticatiemiddel voldoende sterk is. In onze visie betekent dit dat de volgende eisen aan gebruikersaccounts en wachtwoorden worden gesteld: Instelbare lengte wachtwoorden. Instelbare verplichte vervanging van wachtwoorden. Een gebruiker kan op elk moment zijn wachtwoord zelf wijzigen. Een wachtwoord dat eenmaal gebruikt is, kan een instelbaar aantal keer niet worden hergebruikt. Er zijn maatregelen getroffen om te voorkomen dat een wachtwoord te eenvoudig is, bijvoorbeeld door het controleren van nieuwe wachtwoorden tegen de gebruikersnaam, tegen een woordenlijst, het eisen van minimaal twee cijfers en/of het eisen van het gebruik van minimaal één niet-alfanumeriek karakter. Na het vaststellen van een initieel wachtwoord bij het aanmaken van een gebruiker door een beheerder, dient de gebruiker te gedwongen te kunnen worden bij de eerste keer aanloggen zijn password te wijzigen. 2. Voor het merendeel van de onderzochte interceptie systemen geldt dat het niet configureerbaar is dat een account geblokkeerd wordt na een aantal achtereenvolgende mislukte inlogpogingen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
44
Indien een ongeautoriseerd persoon toegang probeert te krijgen tot een account, door bijvoorbeeld het raden van wachtwoorden, leidt dit niet tot blokkering van dit account na een aantal maal. In incidentiele gevallen worden onsuccesvolle toegangspogingen zelfs niet gelogd. In combinatie met de zwakke wachtwoorden leidt dit tot een risico voor de exclusiviteit. Wij adviseren om interceptie systemen zodanig in te richten dat het een account geblokkeerd wordt na een vooraf ingesteld ongeautoriseerde toegangspogingen. 3. Bij een incidenteel interceptie systemen geldt dat wachtwoorden van beheerders en gebruikers in ‘klare tekst’ zijn opgeslagen in een centrale database. Het in ‘klare tekst’ opslaan van wachtwoorden binnen een interceptie systeem levert als risico’s op: Dat toegang tot de database (bijvoorbeeld op een back-up medium) kan leiden tot compromitering van de wachtwoorden. Dat het mogelijk is om zich uitgeven voor een valide gebruiker. Bij het interceptie systeem zijn we door andere tekortkomingen er ook daadwerkelijk in geslaagd om het wachtwoord van een beheerder te achterhalen. Zie de analyse bij checklist nummer X. Incidenteel werd door een interceptie systeem gebruik gemaakt van (geheime sleutel) versleuteling van wachtwoorden hetgeen betekent dat opgeslagen wachtwoorden niet direct leesbaar zijn. Daar de cryptografische sleutel benodigd voor ontsleuteling van de wachtwoorden benodigd is binnen het systeem, is het met kennis van het systeem in principe toch mogelijk inzage te krijgen in de wachtwoorden. Wij adviseren daarom het gebruik van een hashing mechanisme in plaats van versleuteling voor de bescherming van wachtwoorden. 4. Incidenteel geldt dat een interceptie systeem niet de mogelijkheid biedt om wachtwoorden adequaat versleuteld over het netwerk te versturen. Een enkel interceptie systeem biedt niet de mogelijkheid om wachtwoorden te versleutelen voordat deze over het netwerk verstuurd worden. Het is hierdoor mogelijk voor ongeautoriseerde personen om door de communicatie te onderscheppen zichzelf toegang tot het interceptie systeem en de getapte boodschappen te verschaffen. Incidenteel is het zelfs mogelijk om, gebruikmakend van een achterhaalde user-id met wachtwoord, om zichzelf uitgebreide toegangsrechten (zoals beheerdersrechten) toe te kennen. Zonder mitigerende maatregelen is dit een risico voor de exclusiviteit, authenticiteit en integriteit van het interceptie systeem en de getapte boodschappen. Zie tevens analyse Y2.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
45
Wij adviseren om interceptie systemen zodanig in te richten dat wachtwoorden versleuteld over het netwerk worden verstuurd. ZM.
Vast te leggen activiteiten
1. Voor het merendeel van de onderzochte interceptie systemen geldt dat het niet configureerbaar is dat voor een aantal als kritisch aangeduide beveiligingsincidenten alarmen worden gegeneerd. Het is in het merendeel van de onderzochte interceptie systemen niet mogelijk om alarmen te genereren bij ‘denial of service’ aanvallen, door bijvoorbeeld herhaaldelijk onsuccesvol inbellen op de interface of herhaalde mislukte inlogpogingen. In beide situaties is de kans groot dat door een aanbieder aangeboden gesprekken het interceptie systeem niet bereiken. Dit is een risico voor de integriteit van de getapte boodschappen. Wij adviseren om interceptie systemen zodanig in te richten dat vooraf als kritisch aangeduide beveiligingsincidenten worden gealarmeerd. 2. Voor het merendeel van de de onderzochte interceptie systemen geldt dat het niet mogelijk is om een of meerdere essentiële gebeurtenissen vast te leggen. Voor het merendeel van de onderzochte interceptie systemen geldt dat events met mogelijke impact op de integriteit, exclusiviteit of authenticiteit van getapte boodschappen niet worden vastgelegd. Voorbeelden van events die in het merendeel van de gevallen niet worden gelogd zijn: ongeautoriseerde toegangspogingen tot netwerk en het aanmaken van gebruikers. Het niet vastleggen van deze events ontneemt de interceptie organisatie of een externe auditor om achteraf te bepalen of er ongewenste gebeurtenissen of excepties in het systeem hebben plaatsgevonden. Incidenteel gold tijdens de audit dat een aantal essentiële gebeurtenissen wel werden vastgelegd, maar dat deze gegevens corrupt bleken te zijn. Wij adviseren om interceptie systemen zodanig in te richten dat het mogelijk is om vooraf gedefinieerde essentiële gebeurtenissen vast te leggen. Minimaal te loggen zijn de volgende gebeurtenissen: Uitluisteren door een beheerder (kwaliteitscontrole). Aanpassing van inhoud van communicatie- of verkeersgegevens. Geslaagde en mislukte inlogpogingen. Pogingen tot ongeautoriseerd inloggen. Ongeautoriseerde toegangspogingen tot netwerk. Toewijzing van speciale bevoegdheden. Gebruik van speciale bevoegdheden. Wijzigen en uitgeven van autorisaties. Communicatiegegevens tussen provider en interceptie systeem. Alle archiveringsactiviteiten.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
46
Alle vernietigingsactiviteiten. Alle beheer- en toegangactiviteiten van netwerkcomponenten. In het systeem opgetreden excepties.
ZN.
Beveiliging van audit-logs
1. Incidenteel geldt dat logfiles waarin entries staan over zaken die nog niet onherroepelijk zijn verklaard worden verwijderd. Het verwijderen van logfiles met hierin gegevens van een of meerdere taps van nog niet onherroepelijk verklaarde zaken is een risico voor de authenticiteit en integriteit van de getapte boodschappen. Zonder originele en onaangepaste logfiles wordt het aantonen van de authenticiteit en de integriteit van de getapte boodschappen bemoeilijkt. Wij adviseren om interceptie systemen zodanig in te richten dat audit-logs niet kunnen worden aangepast of verwijderd binnen de periode gelijk aan de duur van de langstlopende herroepelijke zaak. 2. Voor het merendeel van de onderzochte interceptie systemen geldt dat de logfiles gegenereerd in interceptie systeem niet adequaat beveiligd zijn. In het merendeel van de onderzochte interceptie systemen geldt dat het mogelijk is om entries in logfiles te wijzigen of de volledige logfiles te verwijderen. Dit hangt samen met het gebruik van een centrale database en de ontoereikende logische toegangsbeveiliging daartoe. Incidenteel geldt dat het mogelijk is om deze wijzigingen te detecteren, echter het is niet mogelijk om de originele entries terug te halen. Door deze mogelijkheden is er géén waarborg dat de interceptie organisatie of een externe auditor achteraf kan bepalen of er ongewenste gebeurtenissen of excepties in het systeem hebben plaatsgevonden. Wij adviseren om interceptie systemen zodanig in te richten dat audit-logs alleen toegankelijk zijn met specifiek daarvoor gekozen programmatuur en daartoe geautoriseerde medewerkers. In het bijzonder dient een de loggingfunctionaliteit zodanig te zijn, dat het mogelijk is om beheerders van het systeem uit te sluiten van toegang tot de logging. ZO.
Ontwikkeling
1. Incidenteel geldt dat bij het ontwikkelen van het interceptie systeem niet is uitgegaan van vooraf opgestelde beveiligingseisen.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
47
Indien bij zowel de initiële als de verdere ontwikkeling van interceptie systemen niet is uitgegaan van beveiligingseisen gesteld door de interceptie organisatie is niet gewaarborgd dat een systeem in gebruik is dat voldoet aan de eisen die gesteld zijn om de integriteit, authenticiteit en exclusiviteit van de getapte boodschappen te garanderen Wij adviseren om beveiligingseisen op te stellen voor interceptie systemen, indien nog niet voorhanden, en door een externe auditor het interceptie systeem te laten controleren aan de hand van deze eisen. 2. Incidenteel geldt dat er binnen de leveranciers geen vaste testprocedures voor het interceptie systeem zijn of géén vastlegging is van uitgevoerde tests. Het niet vastliggen van procedures voor het testen van upgrades of nieuwe releases betekent niet dat in de praktijk altijd sprake is van ongecontroleerde wijzigingen. Echter, het risico bestaat dat in de praktijk niet wordt gewerkt zoals gewenst uit oogpunt van interne controle en beveiliging. Wanneer wijzigingen ongecontroleerd worden doorgevoerd, vormt dit een risico voor de integriteit en exclusiviteit van het interceptie systeem en de getapte boodschappen. Het ontbreken van vastlegging van tests op upgrades of nieuwe releases biedt tevens géén waarborg dat de tests accuraat en volledig zijn uitgevoerd. Wij adviseren om nieuwe software releases adequaat te testen volgens een vaste testprocedure en om alle uitgevoerde tests vast te leggen inclusief de resultaten van de tests. ZP.
Onderhoud
1. Incidenteel geldt dat de interceptie systemen niet in staat zijn om hun eigen correcte functioneren te controleren. Het is niet mogelijk om het correcte functioneren van het interceptie systeem periodiek of bijvoorbeeld na onderhoud te laten controleren door het systeem zelf. Incidenteel geldt dat het interceptie systeem niet in staat is bepaalde delen van zichzelf te testen. Het ontbreken van een ingebouwd controlemechanisme is een risico voor de integriteit, authenticiteit en de exclusiviteit van het systeem en daardoor ook van de getapte boodschappen. Wij adviseren om interceptie systemen zodanig in te richten dat het mogelijk is dat interceptie systemen hun eigen correcte functioneren verifiëren nadat onderhoud heeft plaatsgevonden.
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
48
4 Bijlage A: Overzicht geclassificeerde bevindingen per checklist categorie Dit hoofdstuk bevat een samenvattend overzicht van de geclassificeerde bevindingen als resultaat van het onderzoek. Hierbij is de in Paragraaf 1.3 gehanteerde impact classificatie voor bevindingen gebruikt: hoge risico’s duiden op grote, directe gevaren voor geïntercepteerde data, medium risico’s duiden op grote, maar indirecte gevaren, lage risico duiden op lage gevaren en voor bevindingen die als OK zijn bestempeld zijn, zijn er geen risico’s onderkend. Bij sommige interceptie systemen of organisaties waren bepaalde onderdelen van de checklist niet van toepassing; deze zijn daarom als ‘n.v.t.’ geclassificeerd. Per checklist categorie is aangegeven hoeveel procent van de vijf onderzochte interceptie systemen met bijbehorende beheerprocessen respectievelijk als OK, Laag, Medium, of Hoog zijn geclassificeerd. Bij een checklist categorie is het hoogste risico aangehouden dat naar voren is gekomen voor de categorie. De categorieën zijn onderverdeeld in de inrichting van het beheer van interceptie systemen door de interceptie organisaties (Paragraaf 4.1) en de technische beveiliging van de interceptie systemen (Paragraaf 4.2). 4.1
Overzicht geclassificeerde bevindingen inzake het beheer bij de interceptie organisaties Interceptie Organisatie Gebruikersorganisatie Informatievoorzieningproces A Configureren van taps B Verkrijgen en verzamelen gegevens C Verstrekken en verspreiden gegevens D Verwijderen (bij onherroepelijke zaak) en vernietigen (geheimhouders) gegevens E Archiveren F Autorisatiebeheer Medewerkers G Functie-eisen in functieomschrijvingen H Aanstellen nieuwe medewerkers Middelen I Fysieke beveiliging J Werkplekbeveiliging K Monitoring en logging Beleid en strategie L Beleid M Verantwoordelijkheden N Interne controle en controleprogramma’s Automatiseringsorganisatie
PricewaterhouseCoopers Accountants N.V. 2003-0440
n.v.t
OK
20%
Laag
20%
20%
20%
20%
Med.
Hoog
100% 60% 60% 80%
20% 20%
60% 60%
40%
80%
20%
80% 80% 100%
20%
100%
20%
100% 100% 100%
A & K-analyse op een vijftal interceptie organisaties en systemen
49
Interceptie Organisatie Automatisering dienstverleningsproces O Functiescheiding P Incidentenbeheer Q Probleembeheer R Wijzigingsbeheer S Capaciteitsbeheer T Beschikbaarheidsbeheer en continuïteit U Autorisatiebeheer V Beveiliging van apparatuur en netwerken W Bescherming tegen kwaadaardige software 4.2
n.v.t
OK
Laag
40% 100%
20% 20% 20%
Med.
Hoog
80% 60%
20%
80%
20% 100%
80% 80% 60% 80%
40%
Overzicht geclassificeerde bevindingen inzake de technische beveiliging van de interceptie systemen Interceptie systeem Programmatuur interceptie systeem Infrastructuur X Netwerktoegang Y Encryptie Z Authenticatie ZA Operating systems ZB Systeemklok Functionaliteit ZC Collectie ZD Analyse ZE Archivering ZF Presentatie en toegang ZG Operationele export ZH Formele export ZI Verwijderen/vernietigen gegevens Autorisatie en authenticatie ZJ Autorisatie ZK Gebruikersbeheer ZL Authenticatie Audit logging ZM Vast te leggen activiteiten ZN Beveiliging van audit-logs
PricewaterhouseCoopers Accountants N.V. 2003-0440
n.v.t
OK
Laag
20% 40% 20%
40%
20% 20% 20% 20% 60% 40%
40% 20% 20% 20%
40% 20% 40% 20% 20% 20% 20% 60%
20%
20% 20% 20%
Med.
Hoog
40%
60% 40% 60% 40%
60% 20% 60% 40% 40% 40% 40%
20% 20%
20% 40% 20%
20%
40%
40%
40%
20%
80% 80%
A & K-analyse op een vijftal interceptie organisaties en systemen
50
ZO ZP
Ontwikkeling en onderhoud Ontwikkeling Onderhoud
PricewaterhouseCoopers Accountants N.V. 2003-0440
60% 60%
40% 40%
A & K-analyse op een vijftal interceptie organisaties en systemen
51
5 Bijlage B: Generiek model van een interceptie organisatie Reikwijdte onderzoek Aanbieder
Law Enforment Agency (LEA) Interceptie Organisatie Interceptie Systeem
beheer
Rechtbank
interceptie bevel
beheer HI1
HI2 mediator
ruwe data
collectie HI3
content interc. acc. point
IRI interc. acc. point
analyse
metadata
verrijkte data
presentatie en toegang
proces verbaal
uitwerk terminal
Tap archivering
archief (on/offline) operationele export
drager met geïntercepteerde data
formele export
drager met geïntercepteerde data
Off-line communicatie (o.a. post, fax, fysiek transport gegevensdrager) Management gerelateerd verkeer Interception Related Information (IRI) Content of Communication (CC) Verrijkte data
PricewaterhouseCoopers Accountants N.V. 2003-0440
A & K-analyse op een vijftal interceptie organisaties en systemen
52
6 Bijlage C: Toelichting op de gebruikte checklist In Paragraaf 6.1 (respectievelijk 6.2) staat een toelichting op de checklist gebruikt tijdens het onderzoek inzake het beheer binnen interceptie organisaties (respectievelijk inzake de technische beveiliging van interceptie systemen). 6.1
Toelichting op de checklist inzake het beheer binnen interceptie organisaties Categorie/onderwerp Gebruikersorganisatie Configureren van taps
Verkrijgen en verzamelen gegevens Verstrekken en verspreiden gegevens
Verwijderen en vernietigen (geheimhouders) gegevens
Archiveren
Autorisatiebeheer
Functie-eisen in functieomschrijvingen
Aanstellen nieuwe medewerkers
PricewaterhouseCoopers Accountants N.V. 2003-0440
Belang onderzoek Het configureren van taps is onderworpen aan een aantal wettelijke vereisten. Tevens vormt een onjuiste configuratie een risico voor de integriteit van getapte boodschappen. Het risico bestaat dat onbevoegden kennis nemen van getapte boodschappen, waardoor de exclusiviteit hiervan wordt geschonden. Het verstrekken van getapte boodschappen aan personen buiten de interceptie organisatie vormt een risico voor de exclusiviteit, namelijk dat ongeautoriseerde personen toegang tot getapte boodschappen verkrijgen. Het verwijderen en vernietigen van getapte boodschappen is onderworpen aan wettelijke vereisten. Tevens bevat het proces van vernietigen een aantal risico’s zoals het vernietigen door ongeautoriseerde personen of het vernietigen van een verkeerde getapte boodschap. Een betrouwbaar archiveringsproces is vereist om achteraf de integriteit en authenticiteit van getapte boodschappen te kunnen waarborgen. Het proces autorisatiebeheer dient te waarborgen dat bevoegdheden met betrekking tot het interceptie systeem en de getapte boodschappen juist worden toegekend ten behoeve van de exclusiviteit van getapte boodschappen. Het ontbreken van verantwoordelijkheden ten aanzien van informatiebeveiliging in functieomschrijvingen leidt tot het risico dat medewerkers van de interceptie organisatie onbekend zijn met deze verantwoordelijkheden en hier niet naar handelen. Het risico bestaat dat personen met kwade bedoelingen in aanraking komen met getapte boodschappen. Het uitvoeren van een onderzoek naar antecedenten en milieu beperkt dit risico.
A & K-analyse op een vijftal interceptie organisaties en systemen
53
Fysieke beveiliging
Werkplekbeveiliging
Monitoring en logging
Beleid
Verantwoordelijkheden
Interne controle en controleprogramma’s Automatiseringsorganisatie Functiescheiding
PricewaterhouseCoopers Accountants N.V. 2003-0440
Het ontbreken van een adequate fysieke beveiliging tot de interceptie organisatie leidt tot het risico dat ongeautoriseerde personen toegang verkrijgen tot de interceptie organisatie en hierdoor kennis nemen van, of mutaties uitvoeren op getapte boodschappen. Werkplekbeveiliging op beheer- en uitwerkstations dient te voorkomen dat getapte boodschappen ongeautoriseerd worden benaderd, dan wel worden verspreid. Monitoring dient ongeautoriseerde toegang tot, ongeautoriseerde handelingen binnen, en storingen van het interceptie systeem op te merken. Middels logging kan achteraf worden aangetoond welke, mogelijke ongeautoriseerde, handelingen zijn uitgevoerd binnen het interceptie systeem. Bij het ontbreken van een informatiebeveiligingsbeleid binnen de interceptie organisatie bestaat het risico dat onduidelijk is op welke manier de informatiebeveiliging moet worden ingericht en welke maatregelen getroffen moeten worden zodat hiaten in de informatiebeveiliging kunnen ontstaan die ongeautoriseerde toegang tot een interceptie systeem mogelijk maakt. Binnen de interceptie organisatie dienen verantwoordelijkheden te zijn gedefinieerd met betrekking tot informatiebeveiliging, zoals wie is eindverantwoordelijk, wie controleert en legt hierover verantwoording af. Bij het ontbreken hiervan kunnen hiaten in de informatiebeveiliging ontstaan die ongeautoriseerde toegang tot interceptie systemen mogelijk maakt. Middels interne controle dient te worden vastgesteld of dat medewerkers van de interceptie organisatie ook daadwerkelijk het informatiebeveiligingsbeleid naleven. Het ontbreken van functiescheiding tussen beheerders en auditors en tussen beheerders en gebruikers vormt een risico voor de exclusiviteit en integriteit. Ter illustratie, het gevaar bestaat dat beheerders over vergaande bevoegdheden beschikken waarmee de exclusiviteit en integriteit van getapte boodschappen kunnen worden
A & K-analyse op een vijftal interceptie organisaties en systemen
54
aangetast zonder dat dit wordt opgemerkt. Dit legt ook een te hoog compromittatie risico bij de toegangscontrole inzake beheerders. Incidentenbeheer
Probleembeheer
Wijzigingsbeheer
Capaciteitsbeheer
Beschikbaarheidbeheer en continuïteit
Autorisatiebeheer
Beveiliging van apparatuur en netwerken
Bescherming tegen kwaadaardige software
PricewaterhouseCoopers Accountants N.V. 2003-0440
Incidentbeheer dient zorg te dragen voor afhandeling van zowel systeemtechnische als beveiligingsincidenten die mogelijk van invloed zijn op de integriteit en exclusiviteit van getapte boodschappen. Bij het ontbreken hiervan kunnen incidenten niet opgemerkt worden en kunnen de lacunes in de beveiliging die hier aan ten grondslag liggen niet worden geadresseerd. Probleembeheer dient oorzaken van structureel voorkomende incidenten te achterhalen. Dit om het incidentbeheer te ontlasten. Het risico bestaat dat wijzigingen ongecontroleerd worden doorgevoerd en de impact van de wijziging op de integriteit en exclusiviteit van de programmatuur en getapte boodschappen niet is vastgesteld. Capaciteitsbeheer dient enerzijds te waarborgen dat het interceptie systeem over voldoende capaciteit beschikt om het aanbod vanuit de aanbieder te kunnen verwerken. Anderzijds dienen er waarborgen te zijn dat daadwerkelijk alle aangeboden boodschappen aan de collectie interface volledig worden verwerkt. Het niet beschikbaar zijn van het interceptie systeem betekent dat de volledigheid van de getapte boodschappen niet is gewaarborgd. Tevens bestaat het risico dat na een calamiteiten binnen de interceptie organisatie getapte boodschappen niet meer beschikbaar zijn. Alleen geautoriseerde uitwerkstations mogen toegang verkrijgen tot het interceptie systeem en de getapte boodschappen, waarbij het in beginsel slechts mogelijk mag zijn getapte boodschappen in te zien en niet te muteren. De interceptie organisatie dient middels beheermaatregelen te waarborgen dat het interceptie systeem slechts toegankelijk is voor geautoriseerde personen en vanaf geautoriseerde netwerkadressen. Het ontbreken van maatregelen tegen kwaadaardige software vormt een risico voor de integriteit en exclusiviteit van getapte boodschappen. De bescherming van getapte boodschappen kan namelijk aangetast worden door niet opgemerkte kwaadaardige software.
A & K-analyse op een vijftal interceptie organisaties en systemen
55
6.2
Toelichting op de checklist inzake de technische beveiliging van interceptie systemen Categorie/onderwerp Infrastructuur Netwerktoegang
Encryptie
Authenticatie
Operating systems
Systeemklok
Functionaliteit Collectie
Analyse
PricewaterhouseCoopers Accountants N.V. 2003-0440
Belang onderzoek Het ontbreken van beveiligingsmaatregelen voor netwerktoegang vormt een risico voor ongeautoriseerde toegang van buitenaf tot het interceptie systeem en de getapte boodschappen. De communicatie over niet vertrouwde netwerken tussen het interceptie systeem en de uitwerkterminals en tussen componenten van het interceptie systeem dient te worden beveiligd, zodat onbevoegden hiervan geen kennis kunnen nemen of deze kunnen modificeren. Authenticiteit maatregelen dienen te waarborgen dat in geval van communicatie tussen verschillende componenten binnen het interceptie systeem of tussen het interceptie systeem en de uitwerkstations, deze partijen ook daadwerkelijk zijn wie ze zeggen dat ze zijn. Het risico bestaat anders dat een ongeautoriseerde partij zich voordoet als een bevoegde partij voor toegang tot de getapte boodschappen. Het operation system en het beheer van dit systeem dient te voorzien in beveiligingsmaatregelen waardoor onder andere onderscheid kan worden gemaakt in rechten van gebruikers en het gebruik van superuser rechten kan worden vermeden. Dit alles ter waarborging van de exclusiviteit van getapte boodschappen. Wanneer systeemklokken niet zijn gesynchroniseerd met een tijdserver bestaat het risico dat getapte boodschappen verkeerd worden gedateerd en dat ongeautoriseerde activiteiten binnen het interceptie systeem niet met de juiste tijdsaanduiding worden vastgelegd. De collectiefunctionaliteit dient een juiste, tijdige en volledige collectie van aangeboden boodschappen te waarborgen. Tevens dienen bij collectie maatregelen te zijn genomen waardoor later de integriteit van getapte boodschappen is aan te tonen. De analyse dient reproduceerbaar te zijn van de data
A & K-analyse op een vijftal interceptie organisaties en systemen
56
binnengekomen van de aanbieder, zodat achteraf de juistheid van de analyse kan worden aangetoond.
Archivering
Presentatie en toegang
Operationele export
Formele export
Verwijderen/vernietigen gegevens
Autorisatie en authenticatie Autorisatie
Gebruikersbeheer
Authenticatie
Audit logging Vast te leggen activiteiten
Beveiliging van audit-logs
PricewaterhouseCoopers Accountants N.V. 2003-0440
Het interceptie systeem dient een zodanige archivering mogelijk te maken dat achteraf de integriteit en authenticiteit van gearchiveerde gegevens kan worden vastgesteld. Het systeem dient het mogelijk te maken dat presentatie van en toegang tot getapte boodschappen slechts mogelijk is voor geautoriseerde personen. Het systeem dient te voorzien in een administratie van operationele exports, zodat achteraf kan worden aangetoond aan wie en wanneer exports zijn uitgereikt. Bij een formele export ten behoeve van de rechtbank dient de authenticiteit en integriteit van de betreffende getapte boodschappen te kunnen worden aangetoond. Het verwijderen en vernietigen van getapte boodschappen is onderworpen aan wettelijke vereisten. Het systeem dient mogelijkheden te bevatten om als interceptie organisatie te kunnen voldoen aan deze vereisten. Het systeem moet het toekennen van verschillende autorisaties, die genoeg te specificeren zijn om de gewenste functiescheidingen te onderhouden, ondersteunen, zodat ongeautoriseerde toegang tot getapte boodschappen kan worden vermeden (exclusiviteit). Het systeem dient een effectief gebruikersbeheer te ondersteunen door andere toegang te verlenen op basis van unieke user-id’s en user-id’s van gebruikers in te kunnen trekken. Dit alles om de exclusiviteit van getapte boodschappen te waarborgen of ongeautoriseerde handelingen te kunnen toewijzen aan unieke personen. Het systeem dient te ondersteunen dat iedere gebruiker/beheerder een authenticatiemiddel heeft die hij of zij als persoonlijk bezit kan beschouwen. Het systeem dient de mogelijkheid te bieden om vooraf gedefinieerde gebeurtenissen vast te leggen en op basis hiervan een alarm te genereren in geval de gebeurtenis van directe invloed is op de integriteit of exclusiviteit van getapte boodschappen. Het systeem dient de mogelijkheid te bieden om
A & K-analyse op een vijftal interceptie organisaties en systemen
57
bovenstaande logging te beveiliging tegen mutatie, zodat altijd kan worden aangetoond wie, welke handelingen heeft uitgevoerd. Ontwikkeling en onderhoud Ontwikkeling
Onderhoud
PricewaterhouseCoopers Accountants N.V. 2003-0440
Bij ontwikkeling dient voldoende aandacht te worden besteed aan beveiligingsmaatregelen en achteraf dient ontwikkelde software te worden beoordeeld om mogelijke backdoors of andere beveiligingslekken te voorkomen. Het systeem dient de mogelijkheid te bieden dat wijzigingen gecontroleerd kunnen worden doorgevoerd, zodat wijzigingen geen impact hebben op de integriteit en exclusiviteit van het interceptie systeem of getapte boodschappen.
A & K-analyse op een vijftal interceptie organisaties en systemen
58