SaaS-providers moeten proactiever worden bij hun aanpak van beveiliging

Steeds meer online serviceproviders beheren en ontsluiten persoonlijke informatie. Dat schept wettelijke verplichtingen voor de beveiliging van die informatie. Deze verplichtingen staan in de WBP (Wet Bescherming Persoonsgegevens). Deze wet is echter niet erg precies geformuleerd en spreekt slechts over ’adequate‘ beveiliging. Serviceproviders beseffen meestal wel dat ze informatie goed moeten beschermen, maar hoe is niet altijd duidelijk.

Bovendien is de benadering vaak reactief. De provider schrijft pas over de beveiliging als de afnemer vragen stelt. Een proactieve aanpak is: het opstellen van een eigen verzameling management-controls en deze periodiek laten auditen op hun efficiënte werking. Deze manier van werken is al gebruikelijk in de financiële wereld met auditing-standaards zoals SAS-70, ISAE3402 en SSAE-16. Op deze manier zijn eindgebruikers in staat een audit-rapport te lezen en zelf, vooraf dus, conclusies te trekken over de beveiliging en het beveiligingsniveau van hun leverancier. Maar in andere sectoren, zoals in de e-health, staat die aanpak nog in de kinderschoenen.

Door de reactieve houding van serviceproviders moeten zakelijke eindgebruikers zelf onderzoeken welke maatregelen de provider heeft getroffen. Dit op basis van hun eigen standaarden. Het mogelijke gevolg is dat meerdere partijen tegelijk dezelfde vragen opstellen en beantwoorden. Het wiel meerdere malen uitvinden is niet efficiënt.

Verder ontbreken afspraken over de concrete invulling van beveiligingsmaatregelen. Afnemers en leveranciers hebben wel een beeld van die invulling, maar de interpretatie en toepassing van normen zoals de ISO27001 en NEN7510 verschilt. Die normen houden onvoldoende rekening met de invulling van beheerketens zoals die gebruikelijk zijn bij datacenter-, hosting-, SaaS- en andere online diensten. Zo krijgen eindgebruikers van hun SaaS-leveranciers de volgende antwoorden op hun beveiligingsvragen: “De beveiliging van de site is optimaal geregeld doordat we gebruik maken van een gecertificeerd datacenter”; “Dat moeten wij nagaan bij onze leverancier” of “Voor zover ons bekend heeft onze hosting-/ datacenter-leverancier dat geregeld”.

We zien overigens ook positieve ontwikkelingen. Allereerst hanteren steeds meer instanties de terminologie van het NIST (het Amerikaanse National Institute of Standards & Technologies) voor de inrichting van online diensten. Dat verheldert de communicatie en rollen binnen de ketens. Ook auditing-bureaus en overheidsinstanties hebben bovenstaande problematiek op de agenda gezet. Dit naar directe aanleiding van  de Diginotar-kwestie en de ’Lektober‘-incidenten. Het NCSC (Nationaal Cyber Security Centrum) heeft daarvoor concrete richtlijnen opgesteld voor online diensten, die bijvoorbeeld Logius (het overheidsbedrijf dat DigiD aanbied) verplicht stelt voor afnemers van DigiD.

Ook wij zijn al geruime tijd bezig met deze materie. Het oorspronkelijke plan was om een eigen control framework te ontwikkelen, met de noodzakelijke, inhoudelijke verdieping. Maar nu instanties zoals de NCSC ook een concretere invulling van beveiligingsrichtlijnen hebben ontwikkeld, is die aanpak niet langer zinvol. Wij kiezen nu voor het samenvatten van en verwijzen naar richtlijnen uit de verschillende normen en standaarden. Die richtlijnen brengt de DHPA onder in zijn ‘code of conduct’ (gedragsregels) en in gerelateerde documenten.

Het zou goed zijn als alle leveranciers van online diensten uiteindelijk het nut van een proactieve aanpak gaan inzien. Dat ze inzien waarom het hanteren van een degelijk control framework voor de eigen diensten én de diensten van hun toeleveranciers essentieel is. Het maakt de aangeboden beveiliging transparant, ontzorgt de afnemers en versterkt het vertrouwen in de online industrie.

Foto: geert@cheeseworks.nl


Michiel Steltman is directeur van DHPA en als adviseur werkzaam binnen de cloud- en hostingsector.

Over Michiel Steltman