Graag wil ik op dit punt inhaken. Los van dat @
kodak dit (tweede) topic over dit nieuwsbericht maakte heb ik ook met iemand op een bankenforum hierover een dialoog gehad. Wij kunnen de statement van de Twentse hoogleraar, die kodak hieronder al quoteerde, ook niet goed plaatsen. Voor ons was dit echter niet de trigger voor een reaktie. Na het lezen van de CPB rapportage betrapten we ons namelijk beiden op onduidelijkheden in dit rapport. Op zich maakt het rapport wel een onderscheid tussen Application Layer Attacks en de voor ons meer in de media komende Volume Attacks. Onderstaande passages slaan met name terug op die Application Layer Attacks:
Inzage in dataverkeer is nodig om goed en fout verkeer tijdens een ApplicationLayer Attack (ALA) zoveel mogelijk te scheiden. Bij versleuteld dataverkeer – zoals betalingsopdrachten – is in het dataverkeer kijken alleen mogelijk indien diegene die de mitigatie uitvoert, decryptiesleutels bezit. Bij mitigatie door derden worden decryptiesleutels afgestaan. Er vindt dus een afweging plaats tussen betere bescherming en de vertrouwelijkheid/het delen van gegevens van klanten. Dit is onder voorwaarden, opgesteld door De Nederlandsche Bank in de regeling outsourcing, toegestaan. Daarnaast moet vanwege inzicht in persoonsgegevens in het kader van de AVG ook een bewerkersovereenkomst worden gesloten.
en
Detectie is noodzakelijk om een DDoS-aanval te kunnen mitigeren. Detectie van volumeaanvallen (zie kader in paragraaf 3.3) is relatief eenvoudig. Zulke aanvallen gaan namelijk gepaard met ongebruikelijk hoge pieken in het dataverkeer. Voor Application Layer Attacks (ALAs) ligt dit ingewikkelder. Bij een dergelijke aanval is het voornamelijk de inhoud van de data – en niet de hoeveelheid – die voor overlast zorgt. Daardoor is het van de buitenkant minder eenvoudig om te zien dat er iets misgaat. Detectie van nog onbekende typen ALAs is daarom lastiger en de kans op uitval aannemelijker.
Met deze twee alinea's kan een globaal lezer in de veronderstelling komen dat voor 3rd party service providers (cloud) het pareren van Application Layer Attacks net als het ondervangen van Volume Attacks aan de orde van de dag is. Dat, zoals hierboven staat, de Nederlandse Bank dit onder voorwaarden toestaat maakt dit verder aannemelijk.
Is het alleen wel zo aannemelijk dat 3rd party service providers deze rol al hebben? Beiden zijn we geen specialisten hierin, maar door onderstaande argumenten lijkt het ons nog niet waarschijnlijk:
- Application Layer Attacks vertegenwoordigen bijna geen volume, moeten dus door patronen in de data worden ontdekt. Hiervoor is decryptie nodig. Buiten het bankdomein is dit ingewikkeld omdat banken hun websites al jaren compleet als SSL aangebieden. Dezelfde vertrouwelijkheid aan de 3rd party service providers (cloud) toekennen zou dit cloud domein effectief binnen het bank domein(?) trekken.
- De PSD2 richtlijn stelt dat voor het toegankelijk maken van betalingsgegevens voor derden (daarbij reken ik deze serviceproviders) toestemming nodig is van de klanten. De PSD2 richtlijn is in 2018 ingegaan. Is de regeling outsourcing al aangepast aan deze nieuwe werkelijkheid?
- Application Layer Attacks zijn gerichte aanvallen op specifieke organisaties en hun specifieke software. Voor het goed pareren van deze aanvallen is grondige kennis van deze software nodig en van de data die haar wordt aangeboden. De schaalvoordelen die een 3rd party service provider (Cloud) biedt hebben hierbij nagenoeg geen betekenis. Volgens ons is te verwachten dat deze ALAs door de eigen IT van de organisatie worden gepareerd. Kwetsbaarheden zijn hierbij zwakheden in een bepaald CMS of een server platform. Dergelijke kennis delen met een derde partij lijkt ons gevoelig
Kortom, wij zien nog weinig reden om aan te nemen dat encrypted informatie in gevaar is bij 3rd party service providers, omdat die hun werk goed zonder decryptie lijken te kunnen doen. Dan is wel de restrictie dat die partijen zich wel bepalen tot de Volume ddos aanvallen. De afhandeling van ALAs outsourcen lijkt ons ingewikkeld, niet alleen vanwege de kennis overdracht van gevoelige kennis, maar ook de issues rond de privacygevoeligheid die door de nieuwe PSD2 richtlijn ook weer op losse schroeven komt te staan.
Zonder de statement van de Twentse hoogleraar zou het item nog kunnen worden afgedaan als dat de CPB alle typen aanvallen voor het gemak op een hoop zou hebben gegooid. Daar de hoogleraar en de CPB het nog heel goed over totaal verschillende onderwerpen kunnen hebben gehad zijn wij vooral benieuwd naar een toelichting van het CPB op haar rapportage. Het CPB heeft voor ons vooralsnog te weinig concreet gemaakt dat de analyse van ALAs door service providers al gangbaar is.