Apps uit landen met een offensief cyberprogramma tegen Nederlandse belangen

De rijksoverheid heeft op basis van een risicoafweging besloten om de installatie en het gebruik van apps uit landen met een offensief cyberprogramma tegen Nederlandse belangen op mobiele werkapparatuur van ambtenaren in dienst van de rijksoverheid te ontraden. Voorbeelden van landen met een dergelijk offensief cyberprogramma zijn Rusland, China, Iran en Noord-Korea.

Tegelijkertijd wordt op korte termijn toegewerkt naar een situatie waarbij mobiele apparaten, uitgereikt aan ambtenaren in dienst van de rijksoverheid, zo zijn ingericht dat er alleen vooraf toegestane apps, software en/of functionaliteiten kunnen worden geïnstalleerd en gebruikt. Deze oplossing wordt allowlisting genoemd. 

De beleidslijn is samengesteld op basis van een aantal factoren. Een belangrijke factor voor toegestane apps is dat de applicatie benodigd is voor de dagelijkse werkzaamheden op mobiele zakelijke apparaten van de rijksoverheid. Dit vormt het uitgangspunt voor de op te stellen allowlist. Voor meer informatie kun je contact opnemen met CIO Rijk.

Het is voor rijksoverheidsorganisaties mogelijk om af te wijken van de beleidslijn wanneer dit niet anders kan voor de uitvoering van de primaire werkzaamheden. Jouw departementale CISO is verantwoordelijk voor het nemen van een definitief besluit over het afwijken van de beleidslijn. Neem in dit geval daarom altijd eerst contact op met de CISO in jouw organisatie.

De beleidslijn geldt alleen voor de mobiele werkapparatuur van de rijksoverheid. Organisaties buiten de rijksoverheid kunnen de beleidslijn ook op eigen initiatief gebruiken en zelfstandig besluiten welke apps zij wel/niet willen toestaan. Voordat jouw organisatie een besluit neemt, is het belangrijk om bekend te zijn met de voor- en nadelen van allow- en denylisting. 

Om te bepalen of uw apparaten risio lopen adviseert het NCSC organisaties om:

1. Een risicomanagementproces in te richten.

2. Een gerichte risicoanalyse uit te voeren om het gebruik van apps afkomstig uit landen met een offensief cyberprogramma te onderzoeken en de uitkomsten op te nemen in je bredere risicomanagementproces.

3. Aanvullende maatregelen te treffen om de risico’s voor jouw organisatie tot een passend en acceptabel niveau te beperken. Zie hiervoor ook de pagina: “Welke maatregelen kan mijn organisatie treffen om de risico's als gevolg van apps uit landen met een offensief cyberprogramma te beheersen?”.

Zie ook de Factsheet Risico's beheersen: de waarde van informatie als uitgangspunt. | Factsheet | Nationaal Cyber Security Centrum (ncsc.nl) of de standaarden ISO 27000 en ISO 31000

Het NCSC adviseert om met behulp van een risicoanalyse te bepalen of, en zo ja in welke mate, jouw organisatie risico loopt ten aanzien van apps afkomstig uit landen met een offensief cyberprogramma. Het is hierbij ook van belang om de risicobereidheid vast te stellen om tot een passend niveau van weerbaarheid te komen.

Op basis van de uitkomsten van de risicoanalyse kun je bepalen met welke mitigerende maatregelen je het risico wilt beheersen. Hieronder volgen enkele voorbeelden van strategieën en maatregelen die hierbij kunnen helpen. Mobile Device Management (MDM) en Mobile Application Management (MAM) zijn tools die de mogelijkheid bieden om deze strategieën en maatregelen (of delen hiervan) te implementeren.

Er zijn in grote lijnen drie strategieën te onderscheiden:

1. Voorkomen dat apps worden geïnstalleerd door middel van allowlisting of denylisting

Er zijn twee manieren om te voorkomen dat medewerkers bepaalde apps installeren en gebruiken. Dit zijn allowlisting en denylisting. Met behulp van een risicoanalyse kun je bepalen wat de meest passende oplossing voor jouw organisatie is.

2. Het beperken van de rechten van apps die al geïnstalleerd zijn

Door de rechten die een app op een apparaat heeft te beperken, kan ook de mate waarin de app in staat is om gegevens te verzamelen beperkt worden. Het nadeel van deze maatregel is dat de functionaliteit van de applicatie mogelijk minder goed werkt of dat de applicatie zelfs in zijn geheel niet meer functioneert. Dit heeft niet alleen impact op de bedrijfsvoering van de organisatie, maar kan ook leiden tot shadow IT. Het is daarom belangrijk om met behulp van een risicoanalyse vast te stellen welke maatregelen het risico van apps uit landen met een offensief cyberprogramma jouw organisatie passend beheersen.

3. Apps in een afgeschermde  omgeving plaatsen en het centraal beheren van apps

Een andere maatregel is het plaatsen van zakelijke apps in een afgeschermd deel van het apparaat. Op deze manier worden zakelijke applicaties en gegevens geïsoleerd. Zo bescherm je applicaties die buiten het afgeschermde deel zijn geïnstalleerd en worden gebruikt. Dit is een veelgebruikte techniek bij Bring Your Own Device (BYOD) en zakelijke apparaten die ook privé gebruikt mogen worden.

Mobile Device Management (MDM) en Mobile Application Management (MAM) zijn oplossingen voor centraal beheer die kunnen ondersteunen bij het inrichten van afgeschermde en geïsoleerde omgevingen op mobiele apparaten. Deze oplossingen bieden ook ondersteuning om bijvoorbeeld opslag van zakelijke data op mobiele apparaten te beperken. Ook kun je met deze tools afdwingen dat vanaf zakelijke applicaties alleen via een beveiligde VPN-verbinding met het bedrijfsnetwerk kan worden verbonden .

Allowlisting is een beveiligingsmaatregel waarbij een organisatie alleen de installatie van vooraf goedgekeurde applicaties toestaat. Alle andere applicaties worden geblokkeerd en kunnen niet geïnstalleerd worden. Allowlisting is een doorlopend proces waarbij regelmatig gecontroleerd moet worden of de apps die op de allowlist staan nog steeds vertrouwd zijn en gebruikt worden.

Allowlisting kan bijdragen aan een hoger beveiligingsniveau, maar heeft ook nadelen en risico's. Het is ook belangrijk om in gedachten te houden dat er doorgaans meerdere beveiligingsmaatregelen gecombineerd moeten worden voor een effectieve beveiligingsstrategie. Om het risico ten aanzien van apps uit landen met een offensief cyberprogramma te beheersen, zijn naast  allowlisting meerdere beveiligingsmaatregelen nodig die niet alleen technisch, maar ook procesmatig van aard zijn.

Het voordeel van deze maatregel is een hoge mate van controle ten aanzien van het installeren en het gebruik van apps. Een belangrijke randvoorwaarde in het geval van allowlisting is dat er een verantwoord proces aanwezig is om apps te beoordelen en goed te keuren, voordat deze op de allowlist geplaatst worden. Allowlisting biedt over het algemeen een hoger niveau van beveiliging dan denylisting.

Mogelijke nadelen en risico’s zijn:

Beperking functionaliteit
Een van de nadelen van allowlisting is dat de functionaliteit van een smartphone wordt beperkt doordat niet alle apps kunnen worden geïnstalleerd. Een gevolg kan zijn dat medewerkers een deel van hun werk niet of inefficiënt kunnen uitvoeren.

Ontstaan Shadow IT 
De kans dat medewerkers kiezen om bijvoorbeeld hun persoonlijke smartphone te gebruiken voor werkdoeleinden, waardoor het risico van shadow IT ontstaat, is bij allowlisting groter. De reden hiervoor is dat medewerkers gewend zijn aan bepaalde applicaties die niet op de allowlist staan, maar die zij nog wel willen gebruiken. Vervolgens kiezen deze medewerkers ervoor om de app op hun persoonlijke smartphone te gebruiken. Daarom is het belangrijk om naast de allowlist een proces in te richten waarbij apps op verzoek van de medewerkers snel kunnen worden toegevoegd aan de allowlist.

Denylisting is een beveiligingsmaatregel waarbij een lijst van bekende ongewenste apps wordt opgesteld waarna deze apps worden geblokkeerd. Alle andere apps kunnen zonder beperkingen worden geïnstalleerd.

Denylisting kan bijdragen aan een hoger beveiligingsniveau, maar heeft, net als allowlisting, nadelen en risico's. Het is ook belangrijk om in gedachten te houden dat er doorgaans meerdere beveiligingsmaatregelen gecombineerd moeten worden voor een effectieve beveiligingsstrategie. Om het risico van apps uit landen met een offensief cyberprogramma te beheersen zijn er ter aanvulling op denylisting meerdere beveiligingsmaatregelen nodig die niet alleen technisch, maar ook procesmatig van aard zijn.

Wanneer er voor denylisting wordt gekozen, is het van belang dat er een proces is, waarmee de denylist actueel gehouden wordt.

Denylisting is effectief in het blokkeren van bekende kwaadaardige apps. Dit helpt organisaties om hun systemen te beschermen tegen bekende bedreigingen. Bijkomend voordeel van deze maatregel is dat denylisting slechts beperkt impact heeft op de flexibiliteit in het gebruik van de smartphone.

Mogelijke nadelen en risico's zijn:

Beperkte bescherming 
In vergelijking met allowlisting biedt denylisting aanzienlijk minder controle over de risico's rondom mobiele apps en kan hierdoor een vals gevoel van veiligheid creeren. Een nadeel van denylisting is dat er miljoenen apps zijn en er dagelijks honderden nieuwe apps bijkomen, waarvan een deel mogelijk ongewenst is. Het bijhouden van de denylist vereist veel capaciteit van een organisatie en zelfs dan is de kans aanwezig dat er ongewenste apps zijn die niet op de denylist staan. Als een organisatie de denylist onvolledig of traag bijwerkt, kan dat tot gevolg hebben dat een ongewenste app nog niet op de denylist staat, waarop medewerkers (per ongeluk) de ongewenste app installeren.

Omzeiling van beveiliging
Kwaadwillende ontwikkelaars kunnen bijvoorbeeld proberen de detectie van hun kwaadaardige apps te omzeilen door de naam of handtekening van de app te wijzigen. Dit maakt de app onherkenbaar voor de lijst met geblokkeerde apps.