Veiligheid Bronhouderportaal: vermindering tokens
Er zijn momenteel duizenden tokens in omloop voor het Bronhouderportaal. Dit is veel te veel en dit levert een veiligheidsrisico op. Daarom wil het BRO-team bij TNO de hoeveelheid tokens drastisch verminderen. Dit gebeurt stap voor stap. Daarbij is het nodig dat softwareleveranciers hun software koppelen met een nieuwe versie van de REST API.
We werken aan de veiligheid aan het Bronhouderportaal. Voor dit portaal zijn ‘tokens’ in omloop, sleutels waarmee de software van andere partijen toegang krijgt tot het Bronhouderportaal. Een token is nodig om te kunnen werken met de zogenaamde REST API. Deze wordt gebruikt door softwareleveranciers om hun producten op het Bronhouderportaal aan te sluiten. Dataleveranciers en bronhouders kunnen vervolgens deze producten gebruiken om direct met het Bronhouderportaal te interacteren.
Voor elke machtiging is in het huidige Bronhouderportaal een dergelijk token nodig. Deze sleutel heeft momenteel geen afloopdatum en er zijn inmiddels te veel sleutels in omloop. Dit levert een veiligheidsrisico op. We moeten ook de richtlijnen die zijn gesteld in de Baseline Informatiebeveiliging Overheid, kortweg BIO opvolgen. Daarom zijn we vorig jaar begonnen stap voor stap het aantal tokens in omloop te beperken. Hiertoe is het nodig dat de softwareleveranciers hun software gaan koppelen met een nieuwe versie van de REST API, de zogenaamde V2.
In stappen naar een veilig Bronhouderportaal
De volgende stappen zijn al eerder gedaan om tot een veilig Bronhouderportaal te komen:
1. Eén machtiging per project per dataleverancier. Zie deze sheets (pdf, 1.5 MB) voor meer informatie.
2. Bronhouderportaal gereed maken achter de schermen.
3. Eén machtiging per project. Bronhouders die meerdere machtigingen per project hadden zijn inmiddels benaderd.
Het afbouwen van tokens gebeurt in de volgende stappen:
4. Q3, 2023: tokens op een centrale plek afhandelen (zie onderstaande afbeelding) en de geldigheid van tokens eindig maken.
5. Q3, 2023: bepalen hoe we met bijzondere situatie omgaan: Validatietokens. Dit kan door een project op te geven waarop kan worden gevalideerd. Als er nog geen projecten zijn dan kan een bronhouder een dataleverancier afzonderlijk machtigen. Zie onderstaande afbeelding.
6. 1 maart 2024 vervallen de oude tokens. Er is dan nog slechts één token (sleutel) nodig per organisatie om jezelf te authentiseren. Dit token krijgt een beperkte geldigheid.
Binnenkort verschijnt de Q3 functionaliteit in het Bronhouderportaal.