Autoriteit Persoonsgegevens waarschuwt dat gebruikt van SSLv2 mogelijk in strijd is met Wet bescherming persoonsgegevens

In het protocol SSLv2 is vorige week het “DROWN” (Decrypting RSA with Obsolete and Weakened eNcryption) lek aangetroffen, dat aanvallers de mogelijkheid geeft versleutelde verbindingen kunnen kraken. Bedrijven die ondanks dit lek gebruik blijven maken van SSLv2 overtreden hiermee mogelijk de Wet bescherming persoonsgegevens (Wbp).

Dit stelt de Autoriteit Persoonsgegevens (AP). De Autoriteit Persoonsgegevens zegt met verscherpte aandacht te kijken naar het protocol SSLv2. Met dit protocol kunnen beveiligde verbindingen worden opgezet met onder meer websites. Op 1 maart werd bekend dat dit protocol een lek bevat dat ook wel DROWN wordt genoemd. Veel websites ondersteunen SSLv2 nog wel, maar maken gebruik van het TLS protocol om versleutelde verbindingen op te zetten. Indien een server echter voor zowel SSLv2 als TLS dezelfde privésleutel gebruikt kan een aanvaller via DROWN TLS-verbindingen ontsleutelen. Hierdoor krijgen zij toegang tot het dataverkeer.

Configuratie aanpassen

De Autoriteit Persoonsgegevens noemt het met het oog op het DROWN lek van groot belang dat organisaties hun configuratie aanpassen. De privacyorganisatie wijst op de ICT-beveiligingsrichtlijnen voor TLS van het NCSC, die organisaties adviseert hoe zij met TLS passende maatregelen kunnen nemen. Ook benadrukt de Autoriteit Persoonsgegevens dat indien gebruik wordt gemaakt van de programmeerbibliotheek OpenSSL deze bijgewerkt dient te zijn naar de laatste versie.

De privacytoezichthouder waarschuwt dat organisaties die hun configuratie niet aanpassen en gebruik blijven maken van configuraties die bekende kwetsbaarheden bevatten hiermee mogelijk artikel 13 van de Wbp overtreden. Naarmate de gegevens waarmee wordt gewerkt een gevoeliger karakter hebben of de context waarin deze wordt gebruikt een grotere bedreiging vormt voor de persoonlijke levenssfeer van burgers worden de eisen die de Wbp stelt aan de beveiliging hoger.