In dit blog bespreken we de complexe uitdaging van macOS compliance binnen de Nederlandse overheid. We belichten de BIO (Baseline Informatiebeveiliging Overheid) en hoe deze van toepassing is op Apple-werkplekken. We gaan dieper in op de CIS Benchmark en het macOS Security Compliance Project (mSCP) als hulpmiddelen om compliance te bereiken. Tot slot bespreken we de toekomst met BIO 2.0 en de rol van Root3 in het helpen van overheidsorganisaties om hiermee om te gaan.

Root3 werkt regelmatig samen met overheidsorganisaties op het gebied van consultancy en implementatie om Apple-werkplekken naar een hoger niveau te brengen. We zorgen ervoor dat eindgebruikers de best mogelijke Apple-ervaring krijgen, een veilige werkplek en optimaal geïntegreerd met andere systemen. Een thema dat geregeld wordt besproken en geïmplementeerd is voor velen nog erg lastig om op een passende manier in te regelen: compliance met de BIO (Baseline Informatiebeveiliging Overheid). Het kan nog knap lastig zijn om deze vertaalslag te maken naar macOS met een juiste balans tussen gebruikerservaring en beveiliging. In dit blog gaan we dieper in op de mogelijkheden voor macOS compliance en hoe Root3 dit toepast bij haar klanten.

Wat is de BIO?

Om te beginnen, wat is de BIO eigenlijk? De BIO is een basis normenkader om informatiebeveiliging te verhogen binnen overheidsorganisaties zoals Gemeenten, Rijk, Waterschappen en Provincies. Iedere organisatie binnen de overheid moet deze hanteren. De norm volgt de structuur en maatregelen van de NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Dat maakt het overzichtelijk, herkenbaar én is een internationale standaard. Voor Root3 geen onbekend terrein omdat wij zelf sinds 2019 gecertificeerd zijn volgens ISO 9001 en ISO 27001. Recentelijk hebben wij daarnaast de overstap gemaakt van ISO 27001:2017 naar de nieuwe norm uit 2022! Ook de BIO zal waarschijnlijk later dit jaar worden bijgewerkt volgens deze norm, de BIO 2.0.

Aanvullende overheidsmaatregelen

Naast de structuur van ISO 27001 zijn aanvullende overheidsmaatregelen onderdeel van de BIO die bijvoorbeeld iets specifieker beleid vereisen en toegespitst zijn op de Nederlandse markt en Nederlandse overheidsorganisaties. Denk hierbij bijvoorbeeld dat het verplicht is om een screening uit te voeren en Verklaring Omtrent het Gedrag op te vragen als onderdeel van een sollicitatieprocedure. Of een concrete maatregel om altijd two-factor authenticatie te implementeren als een applicatie vanuit een onvertrouwde zone wordt benaderd. Hetzelfde geldt voor een wachtwoordbeleid waarbij de BIO specifieke eisen stelt aan een wachtwoordbeleid en ISO 27001 dit iets vager omschrijft.

De BIO en macOS

De vragen die Root3 worden gesteld zijn: hoe zorgen wij ervoor dat onze macOS-werkplekken BIO-compliant zijn? Hoe interpreteren we de BIO specifiek voor macOS? Waar vinden we de informatie?

Omdat de BIO feitelijk heel breed inzetbaar is, wordt er niet concreet aangegeven hoe dit toepasbaar is voor macOS. Logisch ook, want technische maatregelen worden bepaald op basis van het risico voor de vertrouwelijkheid, beschikbaarheid en integriteit van informatie. Dit risico verschilt uiteraard per organisatie en de implementatie kan dus ook per organisatie anders zijn. Toch is er behoefte om aantoonbaar te maken dat de werkplekken voldoen aan het beleid voor het hoger management. In de praktijk zien we dat dat een beste klus is en dat CISO’s zwart op wit willen zien dat maatregelen zijn genomen en voldoen aan de BIO. Maar is de BIO dan wel juist geïnterpreteerd voor een platform zoals macOS en biedt dit nog steeds een werkbare situatie en goede Apple-ervaring?

CIS Benchmark het antwoord?

Bij enkele opdrachten voor de Nederlandse overheid heeft Root3 implementaties gedaan op basis van de CIS Benchmark om invulling te geven aan de BIO. De CIS benchmark is een technische benchmark samengesteld door de non-profit organisatie Center for Internet Security. In deze benchmark staan specifieke aanbevelingen voor macOS, waarom een organisatie deze aanbevelingen zou willen toepassen, hoe dit technisch te realiseren én te controleren in de vorm van audits op een geautomatiseerde methode.

Inmiddels is de CIS Benchmark een breed gedragen security baseline en daarom ook veel toegepast omdat het concrete technische maatregelen beschrijft specifiek voor macOS. In die vorm biedt het houvast voor overheidsorganisaties. Echter, het ‘labeltje’ BIO ontbreekt en daarom is het lastig om uit te leggen en aantoonbaar te maken aan de CISO dat de werkplekken BIO-compliant zijn.

macOS Security Compliance Project

Om die reden hierboven genoemd werken wij met het macOS Security Compliance Project (mSCP). Dit open source project is enkele jaren geleden ontstaan vanuit de behoefte om eenvoudig een security baseline te genereren met onder andere resources om de baseline toe te passen, te controleren én documentatie voor bijvoorbeeld de CISO. Feitelijk kun je een geheel eigen baseline ontwikkelen met begeleidend schrijven om te overhandigen aan een auditor, CISO, CIO en IT-manager etc. Hierin staat precies het beleid beschreven en hoe dit te valideren is.

mSCP rules

Technisch gezien is het mSCP opgezet met ‘rules’. Deze rules zijn technische maatregelen waar in staat hoe een instelling dient te worden geconfigureerd en gecontroleerd, bijvoorbeeld hoe een wachtwoordbeleid op macOS moet worden geconfigureerd met minimaal 12 karakters of wordt voorkomen dat iCloud Desktop & Documents kan worden gebruikt. De rules zijn vervolgens gekoppeld aan de relevante baselines waardoor de technische details van rules centraal kunnen worden beheerd, bijvoorbeeld als de wijze van implementatie verandert in een nieuwe versie van macOS. De bijgewerkte rule is dan direct toegepast bij alle baselines waar deze rule wordt gebruikt.

Support van community en experts

Het centraal beheren van de rules in het mSCP project biedt veel voordelen. Omdat veel organisaties dit project gebruiken en Apple het project ook steunt, worden deze normaal gesproken goed getest door de community met beta-versies van macOS. Hierdoor is de kans zeer aannemelijk dat er een compatibele baseline is voor een nieuwe (major) versie van macOS op dag één van de release.

Er zijn ook andere baselines zoals enkele van de NIST (National Institute of Standards and Technology), CMMC (Cybersecurity Maturity Model Certification) en CNSSI (Committee on National Security Systems), maar deze zijn vooral voor de Amerikaanse markt en een baseline voor de BIO ontbreekt dus.

Baseline op maat op basis van standaard

Om dat probleem op te lossen werkt Root3 op basis van het macOS Security Compliance Project om een geheel eigen baseline te ontwikkelen met relevante rules conform de risico’s van de organisatie en eisen vanuit de BIO. Wij geloven in best practices omdat wij in het veld zien welke maatregelen goed werken, maar ook welke maatregelen vooral de productiviteit in de weg zitten. Daarom werken wij met een baseline op basis van de CIS Benchmark als startpunt met enkele uitzonderingen of toevoegingen. Als Root3 zijn wij in staat om de rules te duiden voor macOS en opheldering te geven over de impact op de werkplekken en resulteert uiteindelijk in een gebalanceerde baseline die BIO-compliant is.

De toekomst: BIO 2.0

De ontwikkelingen op het gebied van technologie en informatiebeveiliging staan niet stil en internationale standaarden raken snel verouderd. Om die reden wordt er momenteel gewerkt aan de BIO 2.0 die gebaseerd is op de nieuwe norm ISO/IEC 27002:2022. Deze nieuwe norm is versimpeld en gemoderniseerd waardoor het meer praktische (technische) maatregelen biedt en beter toepasbaar is. Ook bij deze transitie staat Root3 klaar om overheidsorganisaties opnieuw te helpen de BIO 2.0 interpreteren voor macOS en een passende baseline te ontwikkelen.