Bescherming en veiligheid van BRO-data en -systemen
Veiligheid is een belangrijk issue bij de voorzieningen van de BRO. De keten moet niet alleen technisch goed voor elkaar zijn wat betreft code, maar ook de toegang tot het hele systeem moet netjes en veilig zijn. Daar hebben we met name bij onze voordeur, het Bronhouderportaal, afgelopen tijd al een aantal stappen gezet. Wat ga je de komende tijd merken en waarom?
Als (online) bezoeker van de Ketendag, de Sprintreview of het Softwareplein, weet je dat we achter de schermen werken aan een paar aanpassingen. Machtigingen worden beperkt, tokens willen we zoveel mogelijk uitfaseren en er is nu 2-factorauthenticatie. Het was fijn dat er tijdelijke versoepelingen mogelijk waren, maar nu is het tijd om de richtlijnen vanuit de BRO-architectuur strakker te volgen.
Het uitgangspunt is de BRO-architectuur
Aan de basis van de BRO ligt een architectuur. Vanuit het programma BRO is deze architectuur destijds opgesteld. Daarin staan ook dingen over veiligheid en toegang. En die toegang is verdeeld over twee functionaliteiten:
- Authenticatie: dat de BRO weet wie je bent als je aan de deur klopt
- Autorisatie: dat de BRO weet wat je mag doen als je eenmaal binnen bent (machtigingen)
Los van de architectuur zitten er nog andere principes en uitgangspunten waar we aan moeten voldoen vanuit de overheid. Die zijn vastgelegd in de NORA, de BIR, en daarachter liggen nog meer ISO-normen. Het is een uitgebreid pakket aan randvoorwaarden. Zo maakt de BRO gebruik van eHerkenning en als je rechtstreeks aansluit op de webservices dan is een PKI-overheidscertificaat nodig.
Naar een veilig Bronhouderportaal
In de beginjaren van de BRO zijn we op een aantal punten uit de architectuur afgeweken met tokens en username en wachtwoorden. Daarmee was het organiseren van toegang tot de BRO eenvoudiger maar ook minder veilig. Nu, 5 jaar later, is de tijd gekomen om te werken volgens de spelregels die gelden voor alle basisregistraties en dus ook voor ons. Komende tijd gaan er dus dingen veranderen. Dat is niet echt een keuze; veiligheid staat voorop. We beseffen ons dat het consequenties heeft voor iedereen die gewend is om met de Basisregistratie te werken.
We houden je op de hoogte
Afgelopen najaar hebben we al de eerste stappen gezet en op dit moment worden de machtigingen uitgefaseerd. Softwareontwikkelaars, dataleveranciers en bronhouders hebben een mail ontvangen met een overzicht van de belangrijkste veranderingen. In die mail stond ook beschreven welke stappen je moet zetten. Is het niet gelukt of ben je contactpersoon en heb je de mail niet ontvangen? Neem dan contact op met de BRO Servicedesk.