Dual control

Dual control is een beveiligingsprincipe dat vereist dat minimaal twee onafhankelijke personen betrokken zijn bij het uitvoeren van een kritieke handeling. Geen van beide personen kan de handeling zelfstandig voltooien. Dit principe wordt ook wel het vierogenprincipe (four eyes principle) of de two-person rule genoemd. Het doel is om het risico op fraude, fouten en misbruik te verkleinen door ervoor te zorgen dat geen enkel individu volledige controle heeft over een gevoelig proces.

Het concept is afkomstig uit de financiele sector, waar het al tientallen jaren wordt toegepast bij het autoriseren van grote transacties en het beheren van kluizen. In cybersecurity is dual control uitgegroeid tot een fundamenteel beveiligingsprincipe dat wordt toegepast bij het beheer van encryptiesleutels, het wijzigen van kritieke systeemconfiguraties, het goedkeuren van toegangsrechten en het uitvoeren van noodprocedures.

Waarom belangrijk

Dual control beschermt organisaties tegen de risico's die ontstaan wanneer een enkele persoon volledige controle heeft over kritieke systemen of processen. Een systeembeheerder die zonder toezicht wijzigingen kan doorvoeren aan firewallregels, een databasebeheerder die ongecontroleerd klantgegevens kan exporteren of een financieel medewerker die zelfstandig grote betalingen kan autoriseren: dit zijn allemaal scenario's waarin dual control een essentieel vangnet vormt.

Het principe is bijzonder relevant in het licht van insider threats. Onderzoek toont aan dat een significant deel van beveiligingsincidenten wordt veroorzaakt door interne medewerkers, hetzij opzettelijk hetzij per ongeluk. Door kritieke handelingen te verdelen over twee personen, wordt het voor een enkele kwaadwillende medewerker aanzienlijk moeilijker om schade aan te richten zonder gedetecteerd te worden.

Dual control is ook een vereiste in diverse compliance-frameworks. ISO 27001/27002 schrijft scheiding van taken voor als beveiligingsmaatregel. PCI DSS vereist dual control specifiek voor het beheer van cryptografische sleutels. En de NEN 7510-norm voor de zorgsector stelt soortgelijke eisen aan het autoriseren van toegang tot patientgegevens.

Hoe toepassen

Identificeer eerst welke processen en handelingen binnen je organisatie het meest kritiek zijn en het grootste risico op misbruik of fouten dragen. Dit zijn typisch processen die betrekking hebben op financiele transacties boven een bepaalde drempel, het beheer van encryptiesleutels en certificaten, het toekennen of wijzigen van privileged access, het wijzigen van firewall- en netwerkconfiguraties, het deployen van software naar productieomgevingen en het benaderen van gevoelige datasets.

Ontwerp voor elk geidentificeerd proces een dual control-mechanisme dat past bij de context. Bij het beheer van encryptiesleutels kan dit betekenen dat de sleutel wordt opgesplitst in twee delen, waarbij elke helft door een andere persoon wordt bewaard. Bij het autoriseren van systeemwijzigingen kan het betekenen dat een wijziging door een persoon wordt aangevraagd en door een ander wordt goedgekeurd voordat deze wordt doorgevoerd.

Implementeer technische afdwinging waar mogelijk. Handmatige procedures worden onvermijdelijk omzeild wanneer de werkdruk toeneemt. Gebruik systemen die dual control technisch afdwingen, bijvoorbeeld via workflows die twee goedkeuringen vereisen, multifactorauthenticatie met gescheiden tokens, of gedeelde cryptografische sleutels die alleen samen functioneren.

Zorg ervoor dat de twee betrokken personen onafhankelijk van elkaar opereren. Dual control verliest zijn waarde als beide personen in dezelfde rapportagelijn zitten of als de ene persoon druk kan uitoefenen op de andere. Kies bewust voor personen uit verschillende afdelingen of met verschillende hierarchische posities. Roteer de rollen periodiek om onderlinge afhankelijkheden te voorkomen.

Documenteer alle dual control-procedures en train medewerkers in het correct toepassen ervan. Leg vast wie welke rol heeft, welke stappen gevolgd moeten worden en wat er gebeurt bij een noodprocedure wanneer een van beide personen niet beschikbaar is. Voorzie in een escalatiepad voor spoedgevallen dat de integriteit van het principe bewaart.

In de praktijk

Een bank implementeert dual control voor het beheer van de Hardware Security Modules (HSM's) die worden gebruikt voor het versleutelen van transactiegegevens. De mastersleutel is opgesplitst in twee componenten die elk door een andere sleutelbeheerder worden bewaard in een verzegelde envelop in een aparte kluis. Alleen wanneer beide beheerders gelijktijdig aanwezig zijn en hun component invoeren, kan de HSM worden geactiveerd of opnieuw worden geconfigureerd.

Een IT-dienstverlener past dual control toe bij het deployen van wijzigingen naar productieomgevingen van klanten. Een engineer bereidt de wijziging voor en test deze in een acceptatieomgeving. Een tweede engineer reviewt de wijziging, controleert de testresultaten en voert de daadwerkelijke deployment uit. Dit proces voorkomt dat een enkele medewerker ongeteste of kwaadaardige code naar productie kan brengen.

Een zorginstelling implementeert dual control voor het exporteren van patientgegevens. Wanneer een medewerker een dataset wil exporteren voor onderzoeksdoeleinden, moet een tweede geautoriseerde medewerker de export goedkeuren. Het systeem logt beide autorisaties en blokkeert de export als de tweede goedkeuring ontbreekt. Dit beschermt tegen zowel onbevoegde toegang als onopzettelijke datalekken.

Een overheidsorganisatie gebruikt dual control bij het wijzigen van DNS-configuraties. Een netwerkengineer stelt de wijziging voor via een changeticket, inclusief de reden en het verwachte effect. Een tweede engineer met DNS-beheerrechten reviewt het verzoek en voert de wijziging door. Alle stappen worden vastgelegd in een audit log voor latere controle.

De effectiviteit van dual control hangt af van de organisatiecultuur en de mate waarin medewerkers het principe serieus nemen. In een cultuur waarin veiligheid voorop staat, wordt dual control gezien als een beschermingsmaatregel die iedereen ten goede komt. In een cultuur waarin productiviteit boven alles gaat, kan het worden ervaren als bureaucratische overhead die het werk vertraagt. Het is daarom essentieel dat het management het belang van dual control uitdraagt en dat medewerkers begrijpen waarom het principe bestaat en hoe het hen beschermt tegen onterechte verdenkingen en onbedoelde fouten.

Veelgestelde vragen

Wat is het verschil tussen dual control en scheiding van taken?

Scheiding van taken (segregation of duties) verdeelt een compleet proces over meerdere personen, zodat niemand het gehele proces beheerst. Dual control is specifieker: het vereist dat twee personen gelijktijdig betrokken zijn bij dezelfde handeling. Scheiding van taken is het bredere concept, dual control is een specifieke implementatievorm.

Is dual control verplicht volgens wet- of regelgeving?

Diverse standaarden en frameworks vereisen of adviseren dual control. PCI DSS schrijft het voor bij cryptografisch sleutelbeheer. ISO 27001 vereist scheiding van taken waarvan dual control een invulling kan zijn. De specifieke verplichting hangt af van de sector en de toepasselijke regelgeving.

Hoe voorkom je dat dual control het werkproces vertraagt?

Automatiseer de goedkeuringsworkflow zoveel mogelijk. Gebruik digitale goedkeuringssystemen met notificaties, stel duidelijke SLA's voor reactietijden en zorg voor voldoende getrainde plaatsvervangers. Beperk dual control tot de werkelijk kritieke processen om onnodige vertraging te voorkomen.

Wat doe je in noodgevallen wanneer de tweede persoon niet beschikbaar is?

Stel een noodprocedure op die beschrijft hoe je in uitzonderlijke situaties kunt handelen. Dit kan een break-glass procedure zijn waarbij een enkele persoon tijdelijk bevoegd is, mits alle handelingen uitgebreid worden gelogd en achteraf worden gereviewd. Zorg dat deze noodprocedure alleen in echte noodgevallen wordt gebruikt.

Wil je dual control implementeren in jouw organisatie? Vergelijk cybersecurityoplossingen voor identity en access management op IBgidsNL.