Verouderd beveiligingsprotocol SSLv2 geeft meer ellende dan je denkt

De Autoriteit Persoonsgegevens zegt ‘verscherpte aandacht’ te hebben voor het protocol SSLv2 dat als doel heeft beveiligde verbindingen met onder meer websites te maken. Vanwege een lek, beter bekend als DROWN, kunnen kwaadwillenden toegang krijgen tot vertrouwelijke inhoud van het netwerkverkeer. De AP waarschuwt dat bedrijven de Wet bescherming persoonsgegevens (Wbp) overtreden als ze niet ingrijpen.

De zogenaamde DROWN-aanval (Decrypting RSA with Obsolete and Weakened eNcryption) kan ruim een derde van alle HTTPS-servers verzwakken, waaronder die van de Telegraaf en Ziggo. De eigenlijke achilleshiel is het beveiligingsprotocol SSLv2, dat al vele jaren onder vuur ligt.

De Autoriteit Persoonsgegevens wijst erop dat door het recent ontdekte lek het van groot belang is dat organisaties hun configuratie aanpassen. De ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van het NCSC geven organisaties advies hoe zij met TLS passende maatregelen kunnen nemen. De Autoriteit Persoonsgegevens benadrukt dat indien gebruik wordt gemaakt van de programmeerbibliotheek OpenSSL, deze bijgewerkt dient te zijn naar de laatste versie.

Als organisaties de configuratie niet aanpassen en gebruik maken van configuraties die bekende kwetsbaarheden bevatten, overtreden zij mogelijk artikel 13 van de Wet bescherming persoonsgegevens (Wbp). De eisen die de Wbp stelt aan de beveiliging zijn hoger naarmate de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen.

Datalekken moeten zonder onnodige vertraging en (zo mogelijk) niet later dan 72 uur na de ontdekking gemeld worden. Dit staat in de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens. Als organisaties niet kunnen uit sluiten dat de persoonsgegevens onrechtmatig zijn verwerkt, dan kan de Autoriteit Persoonsgegevens verlangen dat de organisatie de betrokkenen informeert over het datalek.

Gebruikers van OpenSSL 1.0.2 moeten hun systeem opwaarderen naar 1.0.2g upgraden en wie OpenSSL 1.0.1 gebruikt, moet naar 1.0.1s. Ook versie 7 of ouder van Microsoft Internet Information Services (IIS) en edities van Network Security Services (NSS) zijn kwetsbaar.