Beveilig de software

mon-02Dataverkenning en datapreparatieOntwikkelenMonitoring en beheerProjectleiderBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid

Maatregel

Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem. Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata en de outputdata.

Toelichting

Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme of systeem. Hierbij kan worden gedacht aan: Het toepassen van wachtwoordbeheer. Baseline Informatiebeveiliging Overheid, de NCSC Handreiking voor implementatie van detectieoplossingen en het Impact Assessment Mensenrechten en Algoritmes.

• Inzicht creëren in de beoogde opzet van de IT-infrastructuur (de architectuur) en de werkelijk geconfigureerde hard- en software. (CIS Control 1, BIO 8.1.1).
• Inrichten van een formeel proces voor het beheer van technische kwetsbaarheden. Dit omvat minimaal periodieke (geautomatiseerde) controle op de aanwezigheid van kwetsbaarheden in de te toetsen systemen, een risicoafweging en navolgbare afwerking daarvan of risicoacceptatie (BIO 12.6).
• Beoordelen, patchen en updaten van kwetsbaarheden in IT-systemen als deze bekend zijn. (BIO 12.6.1)
• Verwijderen of deactiveren van softwarecomponenten en services die niet noodzakelijk zijn voor het functioneren van het algoritme om beveiligingsrisico’s te beperken. (BIO 12.6.1)
• Er vindt zonering plaats binnen de technische infrastructuur conform de uitgangspunten die zijn vastgelegd in een operationeel beleidsdocument, waarbij minimaal sprake is van scheiding tussen vertrouwde en onvertrouwde netwerken (BIO 9.4.2). Denk ook aan het scheiden in netwerken (BIO 13.1.3).
• Actieve monitoring van de algoritme data vindt plaats zodat beveiligingsincidenten en -gebeurtenissen in een vroeg stadium worden gedetecteerd. (BIO 12.4.1, NCSC Handreiking voor implementatie van detectieoplossingen).
• Netwerkverkeer en componenten worden actief gemonitord. (BIO 12.4.1).
• Beoordeel of de data ten behoeve van het ontwikkelen en gebruiken van het algoritme voldoende is beveiligd. Maak hierin onderscheid tussen de trainingsdata, inputdata en de outputdata.

Risico

Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem.

Bijbehorende vereiste(n)

Vereiste
bio-01 - Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
avg-12 - Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
aia-10 - Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig

Bronnen

• Baseline Informatiebeveiliging Overheid
• Onderzoekskader Algoritmes Auditdienst Rijk, IB.18 t/m IB.25
• NCSC Handreiking voor implementatie van detectieoplossingen
• Handleiding Quickscan Information Security

Voorbeeld

Heb jij een goed voorbeeld? Laat het ons weten!