Een lezer vroeg me:
Regelmatig zie ik nog sites en diensten waar men tweefactorauthenticatie (2FA) aanbiedt via een SMS bericht. Steeds meer experts (zoals het Amerikaanse CISA) zijn het er over eens dat dit echt niet meer kan. Nu weet ik dat de wet (art. 32 AVG) open normen kent, maar wanneer kunnen we zeggen dat dit gewoon niet meer adequaat is?
Inderdaad eist de AVG geen concrete maatregelen maar houdt zij het bij “adequate” beveiligingsmaatregelen. Of 2FA via SMS adequaat is, is dan iets dat de verwerkingsverantwoordelijke moet aantonen. En als er een datalek of ander incident was dankzij bijvoorbeeld sim swapping, dan wordt dat een lastig verhaal.
AVG-toezichthouders zijn niet erg scheutig met concrete adviezen over wat wel of niet adequaat meer is. De AP verwijst heel algemeen naar een factsheet uit alweer 2018 van de NCTV waarin men stelt “Het NIST geeft aan terughoudend om te gaan met het publieke telefoon netwerk (SMS en spraak) als authenticatiemiddel voor tweefactorauthenticatie.”
Uiteindelijk is het een risico-analyse. Als jij als organisatie de kans op sim-swapping of andere aanvallen op het SMS-kanaal verwaarloosbaar acht (bv. gezien de aard van je dienst) of je hebt aanvullende maatregelen om dergelijke aanvallen te mitigeren, dan is dat AVG-technisch prima te verantwoorden. Je moet er dus vooral over nagedacht hebben.
In de context van financiële diensten gelden de security-eisen die voortvloeien uit de PSD2 (Payment Services Directive). De daaronder liggende Strong Customer Authentication Regulatory Technical Standard (SCA RTS) schrijft in artikel 4 expliciet multi-factor authenticatie voor met een aantal randvoorwaarden. In 2018 heeft de Europese Banking Authority nog aangegeven dat SMS mogelijk voldoet voor het communiceren van inlogcodes, maar niet voor het doorsturen van inhoudelijke informatie.
Een update van dergelijke aanbevelingen is eigenlijk de enige manier om de markt in beweging te krijgen, afgezien van ernstige incidenten die met een andere 2FA voorkomen hadden kunnen worden.
Arnoud
