BRO | Basisregistratie Ondergrond

Verbetering veiligheid Bronhouderportaal: tweefactor-identificatie verplicht

Gepubliceerd 29 juni 2023

Het BRO-team bij TNO werkt aan de veiligheid van het Bronhouderportaal. Dit gebeurt in stappen. Een aantal stappen is al uitgevoerd. Binnenkort wordt het gebruik van de 2e factor verplicht. Gebruikers van het portaal die geen e-Herkenning gebruiken, krijgen dan bij het inloggen in het Bronhouderportaal vanzelf de vraag om (opnieuw) een 2e factor aan te maken.

Het stappenplan voor verbetering van de veiligheid van het Bronhouderportaal is regelmatig gepresenteerd in de ketendemo’s en overige bijeenkomsten. We zetten hieronder alle stappen nog even op een rij. Per stap zie je wat gepland staat of al uitgevoerd is:

  1. Terug naar één machtiging per dataleverancier per project
    Let op    : er kunnen dus wel meerdere machtigingen binnen een project zijn; één voor ieder van de dataleveranciers.
    1. Uitgevoerd in december 2022: er kunnen geen nieuwe machtigingen voor dezelfde dataleverancier binnen een project worden aangemaakt.
    2. Lopend (juni 2023): de BRO Servicedesk neemt contact op met bronhouders die meerdere machtigingen hebben voor dezelfde dataleverancier. Overtollige machtigingen sluiten.
    3. Gepland Q3/Q4: opties binnen een registratie-object uitbreiden, zodat de bronhouder gericht toegang kan verstrekken. Dus bijvoorbeeld wel voor sonderingen, niet voor grondwaterstandendossiers.
  2. Authenticatie en autorisatie uit elkaar halen
    1. Uitgevoerd in december 2022: een nieuwe versie 2 (v2) REST API aanbieden op het Bronhouderportaal voor integratie met software van derden.
    2. Gepland eind Q4: Versie 1 (v2) REST API uitzetten.
      Let op: softwareleveranciers moeten dus van de nieuwe v2-URL gebruik gaan maken.
  3. Eén token per dataleverancier
    1. Uitgevoerd in Q2 2022: Bronhouderportaal software geschikt maken voor deze stap.
    2. Gepland Q3: Het token uit de machtigingen halen en aanbieden op hoofdniveau. Ook de oude tokens blijven nog een half jaar actief.
  4. Uitfaseren huidige situatie
    1. Gepland Q4: Er kan dan geen gebruik meer worden gemaakt van de v1 REST API.
  5. En verder
    1. Nu: Gebruikersnaam/wachtwoord zonder 2e factor gaat verdwijnen.
    2. Gepland Q3/Q4: verandering dienstenaanbieder e-Herkenning van ministerie van Infrastructuur en Waterstaat (IenW) naar TNO.
    3. Gepland Q4: vervanging van JWT-tokens door OAuth2 (Beveiligingsrichtlijn Overheid, BIO). We zijn nog aan het onderzoeken of deze authenticatiemiddelen enige tijd naast elkaar kunnen staan.

Urgentie
Deze veiligheidsupdates doen we bij de BRO/TNO niet voor niets. Dagelijks horen wij in het nieuws hoe belangrijk dit is in de huidige geopolitieke situatie. Het doel is dan ook te voldoen aan de overheidsrichtlijnen BIO/NORA. Dit is een gemeenschappelijk normenkader met verplichte maatregelen voor de beveiliging van de informatie(systemen) van de overheid.
We begrijpen dat hiervoor tijd nodig is, zowel bij softwareleveranciers als bij onze bronhouders. Neem daarom contact op met de BRO Servicedesk als je ergens tegenaan loopt en vragen hebt.

Delen