Nieuwsbericht Beveiligingsrisico OpenSSL Heartbleed
In de media is deze week een beveiligingsrisico uitgebreid besproken. Het betreft de OpenSSL Heartbleed kwetsbaarheid. Dit is een kwetsbaarheid in OpenSSL waardoor een hacker private sleutels, certificaten en gevoelige informatie zoals wachtwoorden en klantgegevens kan achterhalen. Met de geheime sleutels van certificaten kan de aanvaller informatie achterhalen uit versleutelde verbindingen die worden gebruikt voor bijvoorbeeld websites, e-mail en VPN. Klanten die een risico lopen, zijn reeds per e-mail geïnformeerd.
Servers veilig, SSL-sleutel mogelijk niet
De technologie van OpenSSL wordt toegepast binnen het hostingpark van onze TPM-klanten; de omgeving waarvoor de ICT-beveiligingsaudit DigiD heeft plaatsgevonden. Hoewel wij direct na beschikbaarstelling een beveiligingsupdate op de servers hebben geplaatst, bestaat er een kans dat reeds geïnstalleerde SSL-sleutels niet meer volledig veilig zijn. Het is helaas niet met zekerheid vast te stellen of dit ook feitelijk het geval is.
Advies NCSC
Het Nationaal Cyber Security Centrum heeft een beveiligingsadvies uitgebracht. Stap 1 is reeds uitgevoerd: de servers hebben een beveiligingsupdate gekregen. Het advies voor stap 2 hebben we aan de betroffen klanten voorgelegd: NCSC adviseert om preventief de huidige SSL-sleutel (PKIoverheid servercertificaat) te vervangen door een nieuwe sleutel. Alleen dan hebt u volledige zekerheid dat de sleutel veilig is. Klanten die de SSL-sleutel vervangen worden met voorrang behandeld, conform de spoedprocedure.
Hoe nu verder?
Hebt u geen DigiD-aansluiting met TPM-verklaring van GemeenteOplossingen en hebt u geen bericht ontvangen? Dan hoeft u niets te doen. Maakt u wel gebruik van de TPM-hostingomgeving en hebt u toch geen bericht ontvangen? Neemt u dan spoedig contact op met de GO| servicedesk, bereikbaar op 050 - 5757 848.