VKA: DigiD audits meten IT beveiliging onvoldoende

26 september 2012 Consultancy.nl

Iedere overheidsorganisatie die gebruik maakt van DigiD voor de ontsluiting van haar elektronische dienstverlening krijgt de komende jaren te maken met audits op de beveiliging van de DigiD aansluiting. Deze DigiD audits moeten dienen als wekker, maar als bestuurders niet wakker worden, hebben de audits hooguit een sluimer-functie stelt Frank van Vonderen van Verdonk Klooster & Associates.
 
Na DigiNotar en Lektober is duidelijk geworden dat het voor overheidsorganisaties steeds belangrijker is om hun informatiebeveiliging op orde te hebben. Door de talrijke issues staat het vertrouwen in de elektronische overheid onder druk.
 
De Minister van Binnenlandse Zaken heeft daarom op 2 februari 2012 in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken voor eind 2013 met een ICT-beveiligingsassessment moet aantonen dat de beveiliging op orde is. Deze assessments dienen jaarlijks te worden herhaald en het is verplicht de resultaten te rapporteren aan Logius, de beheerder van DigiD.
 
Het ICT-beveiligingsassessment voor DigiD bestaat uit twee elementen:
- een procedurele en een technische toets tegen een normenkader dat door DigiD beheerder Logius is geselecteerd op grond van richtlijnen van het Nationaal Cyber Security Center (NCSC);
- een penetratietest, ook wel 'ethical hacking test' genoemd, waarbij geprobeerd wordt in te breken. Dit is hetzelfde al wat hackers doen, maar dan gecontroleerd.
 
Verwacht niet bij voorbaat een succesvolle uitkomst: eerste proefaudits bij decentrale overheden wijzen uit dat de kans groot is dat organisaties op meerdere en serieuze tekortkomingen stuiten. Hoewel de audits het onderwerp informatiebeveiliging ondubbelzinnig op de agenda zetten, zijn DigiD audits alleen niet voldoende. Een audit biedt immers maar beperkte zekerheid: tijdens een DigiD audit wordt alleen gecontroleerd of één van de vele ramen in uw huis vorige week dicht is geweest.
 
Om het sein 'veilig' te kunnen geven en om veilig te blijven zijn twee dingen nodig:
 
1. Overheidsorganisaties pakken de DigiD audits niet op naar de letter, maar naar de geest: beveilig niet alleen de systemen die met DigiD werken, maar beveilig alle kwetsbare systemen. De bestuurder moet zich zichzelf dan ook de volgende vragen stellen:
Gaat de website die aan DigiD is gekoppeld de audit goed doorstaan?
Is de organisatie zodanig ingericht dat zij goed omgaat met wijzigingen in techniek, organisatie en omgeving zodat ook de komende jaren de audit goed wordt doorstaan?
Welke andere systemen dan die met DigiD zijn gekoppeld zijn kwetsbaar en hoe zouden deze zich houden bij een vergelijkbaar ICT beveiligingsassessment?
Door in het kielzogvan de DigiDaudit ook de andere twee vragen op te pakken werkt de organisatie aan structurele verbetering en worden de investeringen in tijd en middelen ook maximaal benut.
 
2. Overheidsorganisaties moeten er zelf voor zorgen dat zij veilig blijven. De door de Minister opgelegde ICT-beveiligingsassessments zijn geen oplossing. In de huidige opzet doen de audits enkel een uitspraak over de informatiebeveiliging op een bepaald moment in het verleden (het moment van de audit) en voor maar een beperkte scope (namelijk het systeem dat met DigiD communiceert). Met andere woorden: de DigiD audit controleert alleen of een van de vele ramen in uw huis vorige week dicht is geweest. Daarmee weet je niet of dit raam nu nog steeds dicht is en hoe het met de andere ramen zit.
 
Een DigiD audit is dus niet voldoende, maar een realistische oplossing ligt binnen handbereik. In de private sector is het binnen grote organisaties al jaren gebruikelijk om bedrijfsbrede diensten in te richten die de robuustheid van systemen en websites bewaken. Dit bewezen model kan door de overheid eenvoudig worden overgenomen door in gezamenlijkheid een vergelijkbare voorziening in te richten. De technische en financiële haalbaarheid is in de private sector al bewezen, wat nog ontbreekt is dat bestuurders echt wakker worden en bestuurlijke ambitie tonen.
 
Een artikel van Frank van Vonderen, management consultant bij Verdonk Klooster & Associates (VKA).


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup