Pleio

Engels | Nederlands
Werkgroep Pleio

Werkgroep Pleio

Bouw mee aan Pleio

 3.7/5 Sterren (3)

Gerelateerde blogs

Verslag Pleio-overleg 4 november 2010

Verslag Pleio-overleg 4 november 2010

Aanwezig: Davied, Wim en Marcel (Harrie was...
Hosting van Pleio

Hosting van Pleio

Wij krijgen veel vragen van leden en...
Cybersecurity

Cybersecurity

De NCSC heeft het jaarlijkse cybersecuritybeeld...

Hoe veilig is Pleio?

    Marcel Ziemerink
    • iedereen (publiek zichtbaar)
    • 448
    Door Marcel Ziemerink in de groep Werkgroep Pleio 2010 dagen geleden Reacties (12)

     0/5 Sterren (0)

    Momenteel is de Rijks Audit Dienst (RAD) bezig om de beveiliging van Pleio in kaart te brengen, zodat we weten welk beveiligingsniveau Pleio heeft en we waar nodig de beveiligingseisen kunnen aanpassen. Daar gaan we dit jaar nog duidelijkheid over krijgen dus. Maar hoe staat het in de tussentijd met de beveiliging van Pleio?

     
     
    Betrouwbaarheid, integriteit en exclusiviteit
    Tom Moesker is vanuit DGOBR (ministerie van BZK) werkzaam bij de ICTU en heeft een grote staat van dienst op het gebied van systemen en beveiliging. Hij begeleidt het traject van de RAD om de beveiliging van Pleio te onderzoeken. Gevraagd naar zijn indruk van de huidige stand van zaken zegt hij:

    “Als we kijken naar betrouwbaarheid, integriteit en exlusiviteit van de gegevens dan zijn dit de feiten:

    • Pleio wordt sinds enige tijd gehost bij BIT b.v. (zie ook deze blog). BIT beschikt over o.a. ISO-certificering en ik durf te stellen dat het met de betrouwbaarheid van de gegevens en de dienst wel goed zit;
    • Ook de integriteit van gegevens is daarmee deels al gewaarborgd. Wel is er aanvullend onderzoek nodig in de applicaties die onderdeel uitmaken van Pleio. Dat wordt meegenomen in het RAD-onderzoek;
    • De achilleshiel is exclusiviteit. Die borging is op dit moment beperkt: De identiteiten van beheerders worden wel getoetst via e-mail naar een een erkend e-maildomein van de (rijks)overheid. Dat is een belangrijke maatregel. Echter, die beheerders zijn op hun beurt zelf verantwoordelijk om de identiteiten van gebruikers te toetsen.


    De verantwoordelijkheid ligt dus voor een groot deel bij de gebruiker, bijvoorbeeld een beheerder van een deelsite. Als gebruiker kun je zo lid worden van Pleio en wie houdt je tegen om zo'n account te delen met anderen? Aangezien een identiteitstoets niet op technische wijze wordt afgedwongen is hiervoor een gedragscode nodig die past bij het niveau van vertrouwelijkheid van de deelsite die het betreft.

    Daarnaast kan de functionaliteit van Pleio op dit punt nog wel wat verbeterd worden: Afgelopen donderdag kreeg ik nog een discussie mee over mogelijkheden om sneller en beter te zien wie in jouw groep zit zodat je kunt zien wie mee kan lezen. Dan maak je minder gauw fouten.”


     
    Beeldvorming
    Veiligheid is een relatief begrip en afhankelijk van het werk dat je doet en de informatie die je daarbij gebruikt. Maar het is ook afhankelijk van beeldvorming. Het is belangrijk om de feiten op een rij te zetten. Moesker daarover:
     
    “Ik hoorde in de wandelgangen een paar statements over Pleio. Die zijn volgens mij niet allemaal even goed gefundeerd. Maar het is een nieuwe dienst en onbekendheid roept vragen en weerstand op. Dat is te begrijpen. In die context is het denk relevant om te weten dat Pleio nauw samenwerkt met de RAD. Die helpt het Pleio-team om de informatiebeveiliging volledig in orde te maken en wordt zelf ook gebruiker van Pleio.
     
    Voor de tussentijd zijn de volgende statements denk ik relevant om te kennen:
     

    • Pleio is nu inherent veiliger dan GoogleDocs. Maar bij gebrek aan alternatieven gebruiken steeds meer rijksmedewerkers steeds intensiever GoogleDocs. Daarmee zijn we als rijk slechter af;
    • Pleio is nu niet onveiliger dan bijvoorbeeld Viadesk. Maar in tegenstelling tot Viadesk wordt Pleio wel onderworpen aan toetsing door de RAD. Daarmee zijn we met Pleio beter af;
    • Pleio is niet geschikt voor departementaal vertrouwelijk gebruik. Daarvoor moet je DWR-SWF gebruiken. Daar is een duidelijke 'taakscheiding'  in te zien;
    • Er staat een vraag uit om DWR-SWF voor extern gebruik open te stellen. Dat is in potentie een heel slecht idee. Het is net zoiets als "droog water" bestellen. Het is namelijk onmogelijk een dienst open te zetten voor niet-departementale organisaties zonder het departementale vertrouwelijke karakter van de dienst aan te tasten. Dat kan alleen door gebruikers uit die externe gebruikers toe te voegen als medewerker bij een departement. Dat departement neemt dan de verantwoordelijkheid op zich voor screening en de naleving van gedragscodes;
    • Pleio is is primair bedoeld om informatie te delen. Daarin zit nu juist de meerwaarde van dit platform. Als er daarnaast behoefte is aan extra sterk beveiligde werkruimtes dan zijn er aanvullende maatregelen nodig zoals identiteitscontrole en de introductie van tokens (of vergelijkbare maatregelen voor authenticatie en autorisatie). Ook dat is technisch mogelijk, maar invulling van zo'n behoefte maakt het wat duurder en verlangt extra financiering die denk ik moet komen van degenen die dit willen.


    Aanvankelijk was ik zelf niet zo'n voorstander van Pleio omdat de ontwikkeling buiten de gebruikelijke routes plaatsvond. Maar nu ik er meer vanaf weet heb ik heb mijn mening inmiddels gewijzigd. En met ondertussen meer dan  13.500 gebruikers denk ik dat we kunnen stellen dat Pleio geen bevlieging is. Ikzelf ga ervan uit dat in de loop van 2011 de puntjes op 'i' gezet op IB-gebied en dat Pleio verder zal groeien.”

    Tot zover de antwoorden van Moesker. Beveiliging staat bij Pleio hoog op de agenda. Ambtenaren moeten open en samen kunnen werken, maar als je ervoor kiest om een groep of deelsite besloten te maken, dan moet je daar ook zeker van kunnen zijn. Daarom hebben we dit uitgangspunt opgenomen in het manifest van Pleio (punt 5).

    Mocht je op het punt van informatiebeveiliging inbreng willen leveren, dan ben je van harte welkom. En als je zelf nog aanvullende vragen hebt dan kun je die hieronder stellen!


    Reacties

    Volgorde van reacties: Aantal: Automatisch laden:
      • Harrie Custers
        Harrie Custers 436 dagen geleden

        Wim en ik hebben met Martine gesproken.

        Een leuk gesprek en naar beide kanten zinvol.

        Het idee is om onder beheer van CIP een groep op te zetten over Veiligheid en dat voor de informatiebeveiligingsbeheerders van de betrokken deelsites.

        Wordt vervolgd.

        • Martine Hartog
          Martine Hartog 462 dagen geleden

          Is bovenstaande informatie nog actueel? Ik kan me voorstellen dat er in de tussentijd war veranderd is.

          • Tom Moesker
            Tom Moesker 979 dagen geleden

            De toenmalige RAD heeft onze hostingprovider bezocht en geconstateerd dat die zijn zaken op orde heeft wat betreft opzet, bestaan en werking van beveiligingsmaatregelen, conform de Code voor Informatiebeveiliging. Maar deze toetsing is inmiddels denk ik ook al bijna 3 jaar oud en daarmee inderdaad niet meer actueel.

            • Harrie Custers
              Harrie Custers 979 dagen geleden

              @kees allereerst merk ik op dat Tom Moesker, bestuurslid van Pleio gaat over de veiligheid. Ik zal hem vragen contact met jou op te nemen.

              Wanneer is iets veilig? Dat hangt natuurlijk sterk af van jouw gebruiksdoel en de eisen die je daar aan stelt. Een simpel ja of nee helpt dan niet als antwoord. ;-)

              Een 100% garantie is nooit te geven. Alles wat je afsluit is ook open te maken of open te breken. Alles wat je openstelt is niet open te breken.

              Mijn advies tot dusverre is dat je op Pleio geen staatsgeheimen moet delen. Niet omdat Pleio minder veilig zou zijn dan andere voorzieningen voor de (Rijks)overheid. Maar simpel omdat het daar (nog) niet voor is bedoeld, ontworpen en ontwikkeld.

              Pleio ontwikkelt zich gebruikersgericht. Zo werken we nu aan een veilige vervanging van Dropbox. Waarbij bestanden en verzending encrypt/versleuteld zijn. Als je dan staatsgeheimen wilt delen, dan is deze functionaliteit met afstand te verkiezen boven Dropbox e.d.

              Wellicht is het nuttig om een keer elkaar te spreken en dan gericht in te gaan op vragen, gebruikswensen en evt. onzekerheden?

              • Kees Hintzbergen
                Kees Hintzbergen 980 dagen geleden

                Ik heb de vraag al eerder gesteld, maar geen reactie gekregen.

                Hoe veilig is Pleio en waar blijkt dat uit?

                Het artikel begint met: Momenteel is de Rijks Audit Dienst (RAD) bezig om de beveiliging van Pleio in kaart te brengen, zodat we weten welk beveiligingsniveau Pleio heeft en we waar nodig de beveiligingseisen kunnen aanpassen. Daar gaan we dit jaar nog duidelijkheid over krijgen dus. Maar hoe staat het in de tussentijd met de beveiliging van Pleio?

                Aangezien deze bijdrage bijna 3 jaar geleden geplaatst is vraag ik mij af wat de RAD vastgesteld heeft en wat dan nu de status is.

                • Max Janssen
                  Max Janssen 1785 dagen geleden

                  In juni werd gemeld dat de RAD bezig is met een veiligheids audit. Wat is de status hiervan?

                  Dit is namelijk van groot belang voor informatiedeling binnen enkele departementen.

                  • Jasper Groot
                    Jasper Groot 2005 dagen geleden

                    Dank voor je zeer heldere verhaal! Hier kan ik wat mee in de organisatie.

                    • Eddy ter Braake
                      Eddy ter Braake 2009 dagen geleden

                      Beste Marcel,

                      Ongeveer een jaar geleden hebben we een SaaS applicatie geimplementeerd. Het betrof een applicatie waar persoonsgegevens en een personeelsdossier gebruikt worden. Om het beveiligingsniveau en de bijbehorende maatregelen te bepalen hebben we destijds dankbaar gebruik gemaakt van informatie van het CBP. In hoeverre de leverancier voldeed aan het gewenste beveiligingsniveau hebben we laten toetsen door een TPM (third party memorandum/SAS70) certificering uit te (laten) voeren.

                      Wellicht is deze werkwijze ook toe te passen voor Pleio en haar deelsites.

                      • Sibout Nooteboom
                        Sibout Nooteboom 2010 dagen geleden

                        Helder en belangrijk verhaal. Hier ben ik blij mee. Het deel over exclusiviteit is voor miji niet helemaal duidelijk. Wordt bedoeld dat mensen soms niet degene ziijn als wie ze zich voordoen? Dat J. Jansen P. Pietersen blijkt te zijn? En dat daarmee besloten Pleio-groepen of deelsites "lek" raken? Ik probeer me voor te stellen wat daarvan precies het risico is. Dat beleidsontwikkelingen voortiijdig uitlekken? Het zou interessant zijn om eens wat gedachten-experimenten te doen hiervoor.

                        • Marcel Ziemerink
                          Marcel Ziemerink 2010 dagen geleden

                          Hoi Dank,

                          Op de wensenlijst staat nu ook opgenomen dat de beheerder van een deelsite bepaald wie er toegang heeft dus ook de al over admins kunnen dan niet meer bij de deelsite. Stel dat er toch hulp nodig is kun je tijdelijk toegang verlenen. En ja, hoe kraakbaar is het? 100% veiligheid betstaat niet, maar we proberen samen met de RAD inzichtelijk te krijgen waar de pijn punten liggen en deze op te lossen!

                        Meer ...

                        Reageren is alleen mogelijk voor aangemelde gebruikers