Lessen en verbeteringen rond het DigiD-assessment

21 augustus 2014
In dit artikel:

Het afgelopen jaar is DigiD enkele keren uit de lucht geweest door grootschalige DDoS-aanvallen. DigiD werd voorpaginanieuws. Betrokken overheidsorganisaties stuurden geruststellende persberichten de wereld in en beloofden verbeteringen, zoals het nieuwe eID [TWEE14]. Genoeg redenen om in te gaan op de jaarlijks verplichte DigiD-beveiligingsassessments. De auteur put uit zijn eigen ervaringen met DigiD-assessments.

 

Schermafbeelding 2014-08-18 om 16.06.14

Veel IT-auditors zijn de afgelopen periode druk bezig geweest met de verplichte DigiD ICT-beveiligingsassessments. Begin 2012 heeft toenmalig minister Spies aangekondigd dat alle organisaties die DigiD gebruiken, moeten voldoen aan een selectie van normen voor informatiebeveiliging [TWEE12a]. De noodzaak tot verbetering van informatiebeveiliging komt voort uit de Diginotar-affaire [TWEE12b]. De IT-auditor staat voor de uitdaging om meer aspecten te onderzoeken en de onderzoeksresultaten nemen toe in maatschappelijke relevantie en impact. Deze ontwikkelingen zullen ervoor zorgen dat de inspanningen voor IT-auditors de komende jaren flink gaan groeien. Het is nu, aan het begin van deze ontwikkelingen, een geschikt moment om terug te kijken op de eerste stappen en te bezien welke lessen er te leren zijn. Daarnaast kijk ik in dit artikel vooruit en besteed ik aandacht aan verbeteringen die de DigiD-assessments beter uitvoerbaar maken.

 Wat houden de DigiD-­assessments in?

DigiD-assessments heten voluit DigiD ICT-beveiligingsassessments. Logius, de regieorganisatie van het ministerie van Binnenlandse Zaken voor de elektronische overheid, is onder meer verantwoordelijk voor DigiD en voert daarom de regie over de DigiD-assessments. Logius heeft de houders van een DigiD-aansluiting (hierna: houders) in samenwerking met NOREA geïnformeerd en voorzien van informatie over aanpak, scope en rapportagetemplates [TWEE12a]. Logius heeft verder verplicht gesteld dat:

  • de toetsing (IT-audit) wordt gedaan door een Register EDP-auditor;
  • een penetratietest van de website met DigiD-koppeling onderdeel is van het assessment en de uitkomsten in het assessment rapport worden opgenomen;
  • de rapportage een overzicht bevat van de feitelijke bevindingen per maatregel;
  • per maatregel een oordeel wordt gegeven ‘voldoet’ of ‘voldoet niet’;
  • de normen van het DigiD-assessment worden getoetst voor zowel opzet als bestaan.

De houders worden geacht om elk jaar uiterlijk op 31 december de assessment-rapporten in te leveren bij Logius. Logius en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties ‘stellen dan aan de hand van de rapportage vast of er al dan niet sprake is van een risico voor de informatieveiligheid of voor DigiD’, zo schrijft Logius op haar website. Logius heeft ook voorzien in de optie dat organisaties met een Register EDP-auditor in dienst een zogeheten self-assessment kunnen uitvoeren [LOGI14].

In 2012 heeft een aantal ‘grootverbruikers’ van DigiD (waaronder de Belastingdienst) een rapport over hun beveiligingsniveau moeten aanleveren. In 2013 waren alle overige DigiD-gebruikers aan de beurt om een rapport in te leveren, waaronder alle gemeenten [TWEE13].

Op basis van de ingeleverde rapporten heeft Logius houders begin 2014 verzocht om op belangrijke normen, die ‘voldoet niet’ als oordeel hadden, actie te ondernemen zodat ze op korte termijn zouden voldoen aan de norm. Ook vroeg Logius om dit opnieuw te laten beoordelen door een IT-auditor.

Schermafbeelding 2014-08-18 om 16.06.07

De lessen van het DigiD­-assessment

Voor veel organisaties zijn de DigiD-assessments nieuwe en intensieve onderzoeken. Uit de opgedane ervaringen met de nieuwe mix van normen, methodiek en resultaten valt een aantal interessante lessen te trekken. Hieronder werk ik vijf van die lessen uit.

Les 1: Verassend verweven

Het onderzoek voor het DigiD-assessment leert ons een les over de complexe verwevenheid tussen mens en technologie achter de DigiD-site. Zelfs onderdelen die technisch en organisatorisch geen verbinding lijken te hebben met het DigiD, kunnen een beveiligingsrisico inhouden. Een voorbeeld is de norm waarin wordt gevraagd om oude websites of oude onderdelen van nieuwe websites, die nog online staan, te verwijderen. De onderzoeksresultaten bij deze norm maken de informatiebeveiligingsrisico’s die kleven aan deze oude websites zichtbaar. Een sterke beveiliging van de website met de DigiD-koppeling van de houder is niet langer voldoende. Oude websites van de houder die niet worden onderhouden, zijn te misbruiken om bijvoorbeeld DigiD-inloggegevens te onderscheppen. Deze gestolen gegevens kunnen vervolgens worden ingezet om in te loggen op de voor het overige goed beveiligde DigiD-website. Identiteitsdiefstal en reputatieschade kunnen de gevolgen zijn. Deze inzichten laten het management inzien dat internet onderdelen verbindt die op het eerste gezicht niet verbonden lijken te zijn.

Les 2: Combineren geeft toegevoegde waarde

Een belangrijke tweede les uit de audit voor het DigiD-assessment is de toegevoegde waarde van een gecombineerde audit. Vóór de tijd van de DigiD-assessments met de nieuwe, uniforme aanpak was veelal sprake van een aparte penetratietest van de webomgeving. Daarnaast werden, in een afzonderlijke audit en op een ander moment, de infrastructuur en de interne organisatieprocessen onderzocht. In deze afzonderlijke audit werd vervolgens de specifieke DigiD-infrastructuur van de DigiD-webomgeving in veel gevallen niet onderzocht. Het gevolg was dat er geen goed beeld was van de beveiligingsrisico’s rond DigiD. In de DigiD-audit worden deze auditonderwerpen wél samengebracht en in hun onderlinge samenhang onderzocht; het normenkader voor het DigiD-assessment dwingt dit af. In de audit voor het DigiD-assessment worden processen, interne technische infrastructuur en een penetratietest op software en infrastructuur samen uitgevoerd. Deze combinatie en reikwijdte in één audit is voor veel organisaties en auditors nieuw. De gecombineerde auditaanpak levert een veel vollediger beeld op van de beveiligingsrisico’s met betrekking tot DigiD.

Les 3: Zicht op wie doet wat

Het DigiD-assessment levert door de specifieke scope en invalshoek een bijzonder zicht op verantwoordelijkheden en taken binnen de organisatie. De scope voor het DigiD-assessment is gedefinieerd vanuit het gezichtspunt van Logius. Deze invalshoek voor een audit is daardoor nieuw voor de houders en hun serviceproviders. Niet eerder was de DigiD-webomgeving van de houder het vetrekpunt voor een audit in deze vorm. In de praktijk levert dit een andere en interessante kijk op de achterliggende processen en partijen. De audit vraagt om aan te tonen wie op welke manier betrokken is bij de beveiliging van de lokale DigiD-applicatie. Deze invalshoek zorgt ervoor dat verder duidelijk wordt hoe verantwoordelijkheden en taken met betrekking tot de lokale DigiD-webomgeving liggen.

Les 4: Verplicht normenkader

Ik denk dat het DigiD-assessment voor veel IT-auditors leerzaam is geweest wat betreft het omgaan met een normenkader dat via regelgeving is verplicht gesteld. De meeste IT-auditors zijn bekend met de zelfgekozen kaders die periodiek worden getoetst. Regelgeving, waarin ook het normenkader wordt voorgeschreven, is echter relatief nieuw. IT-auditors, betrokken bij de assessments, zijn gebaat bij een kwalitatief goed normenkader voor een efficiënte en effectieve audit. In het geval van het DigiD-assessment heeft Logius ervoor gekozen om een selectie van de normen van het NCSC-controleraamwerk voor web-applicatiebeveiliging verplicht te stellen. Dit voorgeschreven normenkader bespaart tijd die anders nodig zou zijn om naar een geschikt normenkader te zoeken, maar beperkt ook de speelruimte voor de auditor. Een voordeel van het NCSC-normenkader is dat de normen zijn uitgewerkt in een rationale, waardoor er achtergrondinformatie beschikbaar is die helpt bij de interpretatie van de norm. Het verplichte normenkader draagt bij aan standaardisatie en onderlinge vergelijkbaarheid. De auditors die het afgelopen jaar betrokken zijn geweest bij meerdere DigiD-assessments, hebben hier mogelijk al de vruchten van kunnen plukken.

Les 5: ‘Rule based’ werken

Voor de auditors die daar eerder nog geen specifieke ervaring in hadden, is de DigiD-assessment volgens mij een goede oefening in ‘rule based’ auditing gebleken. Logius en Norea hebben tijdens een van de informatiebijeenkomsten medio 2013 aangegeven dat de tekst van de norm het uitgangspunt voor het oordeel dient te zijn [NORE13a]. Als de auditor niet aantreft wat er letterlijk in de norm wordt gevraagd, dan luidt het oordeel bij die norm een ‘voldoet niet’. Mitigerende maatregelen tellen in deze benadering niet mee. Deze ‘rule based’ aanpak gaat in tegen de Nederlandse traditie, waarbij er meer ‘principle based’ wordt gewerkt en dus vooral wordt gekeken of risico’s afdoende zijn afgedekt.

Het niveau van de maatregelen past goed bij een ‘rule based’ aanpak. Voor een goed beeld van de feitelijke risico’s is een ‘rule based’ aanpak echter minder geschikt. Logius heeft daarnaast een strenge beoordelingssystematiek opgelegd. Een ‘voldoet niet’ bij opzet in combinatie met een ‘voldoet’ bij bestaan, levert als eindoordeel voor de norm een ‘voldoet niet’ op. Met deze ‘rule based’ aanpak en strenge beoordelingssystematiek zijn de feitelijke risico’s op basis van de inhoud van het DigiD-assessment rapport niet makkelijk te bepalen.

Schermafbeelding 2014-08-18 om 16.05.58

Gewenste verbeteringen rond het DigiD-assessment

In de voorgaande paragraaf kwamen lessen uit het DigiD-assessment aan de orde. Dit zijn lessen die ik heb geleerd van de DigiD-assessments. Naast de lessen zet ik hierna een zestal gewenste verbeteringen rond de DigiD-assessments op een rij, die de efficiëntie van de assessments zouden kunnen verhogen. Voor zowel IT-auditors, houders als Logius is hierbij een rol weggelegd.

Verbetering 1: structureel meer tijd en geld

Logius heeft al aangekondigd de komende jaren een traject te gaan volgen van een stapsgewijze uitbreiding van de verplichte selectie van NCSC-normen waar jaarlijks aan moet worden voldaan. Dit betekent dat de houders en hun serviceproviders niet alleen te maken krijgen met een jaarlijkse slag om de verbeteringen door te voeren op de bestaande toetspunten. Er zal ook jaarlijks van ze worden gevraagd dat zij verschillende nieuwe normen implementeren. De inspanning om het bestaan van de ingerichte maatregelen te toetsen kost structureel tijd en geld. Deze investeringen moeten worden gedaan door alle partijen.

Verbetering 2: continue verbetering normen

De eerder genoemde uitbreiding van de normen betekent dat de auditinspanning verder zal groeien als er niet gewerkt wordt aan verdere verbeteringen in de formuleringen van de normen. Eerder noemde ik bij de lessen al voordelen van het verplichte normenkader en de beschikbare informatie. De uitdaging schuilt in de verbetering van de afzonderlijke normteksten. Wanneer je als auditor de letterlijke normtekst gebruikt in de ‘rule based’ aanpak om te komen tot een oordeel stuit je op doublures en onduidelijkheden. Deze onduidelijkheden kosten tijd en geld door extra inspanning voor afstemming tussen auditor en auditee. De uitdaging voor de betrokken partijen is om de komende tijd de verdubbelingen en onduidelijkheden in de normteksten zoveel mogelijk weg te nemen. Er is al aangekondigd dat feedback op de normen wordt verzameld. Het NCSC ontvangt bijvoorbeeld van Logius de geanonimiseerde assurancerapporten, waarmee zij hun normenkader kunnen herijken [NORE13b]. Het is hierbij wel de vraag of het NCSC individuele normteksten kan verbeteren op basis van de beperkte informatie uit de rapporten. Het NCSC zou wellicht ook de bijlagen van het rapport kunnen bestuderen om een beter beeld te krijgen over hoe is omgegaan met een norm. In die bijlagen staat een uitgebreide beschrijving van de bevindingen per norm en een beschrijving van het object van onderzoek. Organisaties zijn niet verplicht om deze bijlagen al bij de indiening van het rapport aan te leveren. Op verzoek van Logius dient de houder dit alsnog te doen. De informatie uit de bijlagen zie ik als cruciaal om te komen tot verbeteringen aan normteksten. Het is een rijke bron van informatie die Logius zou kunnen benutten om tot verbeteringen te komen.

Verbetering 3: standaardisatie

Het zoeken naar de juiste en haalbare interpretatie van de normen is vooral een activiteit die in de eerste jaren na introductie van het normenkader extra tijd zal vragen. Wanneer de interpretatie is uitgezocht, toepasbaar is gemaakt op de onderzochte organisatie en afgestemd is met de organisatie en het auditteam, kan dit werk worden hergebruikt in de volgende jaren. Het auditteam heeft een taak om deze informatie vast te leggen op een wijze die dit mogelijk maakt. Zo legt de auditor een onderbouwend dossier aan, maar bewaart hij ook het inzicht in de samenhang tussen maatregelen. Hierdoor ontstaat een goed beeld van het object van onderzoek, zodat de audit jaar na jaar efficiënter en effectiever kan plaatsvinden.

Aan de kant van DigiD-houders en hun serviceorganisaties kan stap voor stap worden gewerkt aan het efficiënt beschikbaar stellen van de benodigde onderbouwing per norm. Het aantoonbaar doorvoeren van verbeteringen naar aanleiding van de geconstateerde tekortkomingen valt ook onder de jaarlijkse inspanning van de houder.

Verbetering 4: Kennis uitwisselen

De huidige rapportagevorm en manier van aanleveren aan Logius lenen zich momenteel minder goed voor kennisuitwisseling. Veel houders zullen de rapportage nog op papier aanleveren. Hierdoor ontstaat vertraging in het delen van kennis met de betrokkenen. Bovendien is de informatie in de huidige verplichte rapportagevorm beperkt, wat de mogelijkheden om bruikbare kennis te verspreiden vermindert, zoals bij verbetering 2 al werd aangegeven.

Als een eerste stap naar een verbeterde kennisuitwisseling zou Logius de uitkomsten van het DigiD-assessment digitaal kunnen gaan verzamelen. Hierbij is het belangrijk om een onderscheid te maken tussen geanonimiseerde informatie en niet anonieme informatie [NORE13b]. Dit vraagt om een slimme digitale inzameling van de gegevens uit de DigiD-assessments door Logius. Een houder zou bijvoorbeeld via een beveiligde inlogoptie op de website van Logius per norm kunnen invullen of deze een ‘voldoet’ of ‘voldoet niet’ scoort. Logius kan dan snel zien welke normen extra aandacht vragen. Ook de houder krijgt feedback of benchmarkinformatie bij het invoeren van zijn gegevens, bijvoorbeeld doordat hij ziet hoe hij zich verhoudt tot de geanonimiseerde overige houders. De houder kan bijvoorbeeld filteren op benchmarkgegevens voor vergelijkbare kenmerken, zoals DigiD-gebruikcijfers, IT-budget of het aantal jaren dat de houder gebruikmaakt van DigiD. De toegevoegde waarde van het DigiD-assessment voor de houder neemt op deze manier toe.

Verbetering 5: Jaarplanning

Veel IT-auditors zijn al gewend om mee te draaien in de cyclus van de financiële audit. In deze audit moeten jaarlijks dezelfde werkzaamheden worden uitgevoerd in dezelfde periodes van het jaar. De rapportage voor DigiD moet elk jaar uiterlijk 31 december zijn ingeleverd, maar het onderzoek kan eerder in het jaar worden uitgevoerd en de rapportage kan eerder in het jaar aangeleverd worden. Eerder aanleveren bij Logius, bijvoorbeeld in augustus, betekent ook eerder kunnen beginnen met verbeteringen. Deze extra mogelijkheid in vergelijking met de situatie rond de financiële audit biedt de mogelijkheid om werkzaamheden meer te spreiden over het jaar. Zo is het mogelijk om IT-auditcapaciteit meer en efficiënter te benutten. Om dit te bewerkstellingen, moeten er aan het begin van het jaar afspraken worden gemaakt over welke activiteiten in welke periode gaan plaatsvinden. Zonder goede planning komt de IT-auditor aan het einde van het jaar met een piek in de werkzaamheden te zitten.

Verbetering 6: Risicogebaseerde maatregelen doorvoeren

Zoals gezegd, wordt de auditaanpak voor het DigiD-assessment gekenmerkt door een ‘rule based’ benadering. Deze benadering heeft voordelen, maar heeft ook als belangrijk nadeel dat risico’s op de achtergrond raken. Door te redeneren vanuit de risico’s is het beter mogelijk om efficiënte en effectieve beveiligingsmaatregelen te implementeren. Deze kans blijft nu onbenut binnen de DigiD-assessments. Dit geldt niet alleen op het niveau van de individuele houder en zijn DigiD-assessment, maar ook op het niveau van het totale speelveld van DigiD-betrokkenen. Er zijn beveiligingsmaatregelen rond DigiD, die risico’s voor burger, houder en Logius, efficiënt verminderen. Een voorbeeld is de strengere eis aan DigiD-wachtwoorden, die recent van kracht is geworden [BELA14]. Te denken valt daarnaast aan het verder stimuleren van het gebruik van DigiD-zekerheidsniveau ‘midden’. Dit is het verbeterde beveiligingsniveau ten opzicht van het niveau ‘basis’ waarbij, naast een gebruikersnaam en een wachtwoord, ook een verificatiecode moet worden ingevoerd. Deze verificatiecode wordt per sms verzonden naar het mobiele nummer dat de burger heeft doorgegeven [DIGI14]. Het vraagt extra inspanning van de burger en de houder. De burger moet de mogelijkheid van de sms-verificatiecode aanzetten in zijn DigiD-instellingen en zijn mobiele nummer invullen. De houder zal de burger voor het inloggen op het digitale loket moeten stimuleren om daarvoor ook de sms-verificatiecode te gebruiken. Het beveiligingsniveau ‘midden’ wordt niet genoemd in het huidige normenkader voor het DigiD-assessment. Het beveiligingsniveau ‘midden’ als maatregel is echter wel belangrijk om de risico’s waar het DigiD-assessment over gaat te verminderen. Als de houders burgers vragen om alleen met zekerheidsniveau midden in te loggen, betekent dit een verminderd risico van identiteitsfraude voor de burgers die gebruikmaken van de website van de houder. Zonder de eenmalige verificatiecode op de mobiele telefoon van de burger kunnen kwaadwillenden niet inloggen met onderschepte DigiD-gebruikersnaam en wachtwoord. Voor de houder en Logius betekent het een vermindering van het risico op reputatieschade. Daarom zie ik het als wenselijk om op termijn te komen tot een risicogebaseerde aanpak met daaruit afgeleide maatregelen.

Tot slot

Nieuwe ontwikkelingen, waar het DigiD-assessment een voorbeeld van is, zijn interessant omdat veel lessen te leren zijn. Door lessen te trekken zetten we een stap als professional en beroepsgroep. Ook is er ruimte voor verdere verbeteringen die de efficiëntie van de audits kunnen verhogen. Het dient tot slot te leiden tot verbetering van de informatiebeveiliging – dat is immers waar het allemaal om begonnen is.

Schermafbeelding 2014-08-18 om 16.05.31

Literatuur

  • [BELA14] Nieuwsbericht Belastingdienst-website, gepubliceerd op 20-05-2014, ‘Strengere eisen aan wachtwoord DigiD’http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/themaoverstijgend/nieuws/strengere_eisen_wachtwoord_digid.
  • [DIGI14] Internetpagina Digid, ‘Drie verschillende zekerheidsniveaus’ zoals beschikbaar op 13 maart 2014, https://www.digid.nl/over-digid/zekerheidsniveaus/.
  • [LOGI14] Internetpagina Logius met als titel ‘Beveiligingsassessments’ zoals beschikbaar op 13 maart 2014, https://www.logius.nl/nc/producten/toegang/digid/logiusnlbeveiligingsassessments.
  • [NORE13a] Nieuwsbericht NOREA-website, gepubliceerd op 19-04-2013, ‘Bijeenkomst IT-auditors over DigiD-assessments’http://www.norea.nl/Norea/Actueel/Nieuws/Bijeenkomst+DigiD.aspx.
  • [NORE13b] Nieuwsbericht NOREA-website, gepubliceerd op 20-09-2013, ‘Bijeenkomst over DigiD- assessments’ http://www.norea.nl/Norea/Actueel/Nieuws/DigiD-WG.aspx.
  • [TWEE12a] Tweede kamer, vergaderjaar 2011-2012, 26 643, nr.242.
  • [TWEE12b] Aanbiedingsbrief 2012-0000602696 van De minister van Binnenlandse Zaken en Koninkrijksrelaties van 29 oktober 2012.
  • [TWEE13] Tweede Kamer, Vergaderjaar 2012–2013, 26 643, nr. 269.
  • [TWEE14] Tweede Kamer, Vergaderjaar 2013–2014, 26 643, nr. 299.

Drs. J. (Jeroen) Van Lewe CISA CIA

Jeroen van Lewe is werkzaam als IT-auditor. Hij is werkzaam in meerdere DigiD-assessments en is betrokken bij het onderzoek op alle normen. Hij publiceerde in uiteenlopende vakbladen over innovaties op het snijvlak van proces en IT. Hij heeft brede IT-auditing ervaring bij overheid en het internationale bedrijfsleven. Dit artikel is geschreven op persoonlijke titel.