VKA: DigiD audits meten IT beveiliging onvoldoende
Iedere overheidsorganisatie die gebruik maakt van DigiD voor de ontsluiting van haar elektronische dienstverlening krijgt de komende jaren te maken met audits op de beveiliging van de DigiD aansluiting. Deze DigiD audits moeten dienen als wekker, maar als bestuurders niet wakker worden, hebben de audits hooguit een sluimer-functie stelt Frank van Vonderen van Verdonk Klooster & Associates.
Na DigiNotar en Lektober is duidelijk geworden dat het voor overheidsorganisaties steeds belangrijker is om hun informatiebeveiliging op orde te hebben. Door de talrijke issues staat het vertrouwen in de elektronische overheid onder druk.
De Minister van Binnenlandse Zaken heeft daarom op 2 februari 2012 in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken voor eind 2013 met een ICT-beveiligingsassessment moet aantonen dat de beveiliging op orde is. Deze assessments dienen jaarlijks te worden herhaald en het is verplicht de resultaten te rapporteren aan Logius, de beheerder van DigiD.
Het ICT-beveiligingsassessment voor DigiD bestaat uit twee elementen:
- een procedurele en een technische toets tegen een normenkader dat door DigiD beheerder Logius is geselecteerd op grond van richtlijnen van het Nationaal Cyber Security Center (NCSC);
- een penetratietest, ook wel 'ethical hacking test' genoemd, waarbij geprobeerd wordt in te breken. Dit is hetzelfde al wat hackers doen, maar dan gecontroleerd.
Verwacht niet bij voorbaat een succesvolle uitkomst: eerste proefaudits bij decentrale overheden wijzen uit dat de kans groot is dat organisaties op meerdere en serieuze tekortkomingen stuiten. Hoewel de audits het onderwerp informatiebeveiliging ondubbelzinnig op de agenda zetten, zijn DigiD audits alleen niet voldoende. Een audit biedt immers maar beperkte zekerheid: tijdens een DigiD audit wordt alleen gecontroleerd of één van de vele ramen in uw huis vorige week dicht is geweest.
Om het sein 'veilig' te kunnen geven en om veilig te blijven zijn twee dingen nodig:
1. Overheidsorganisaties pakken de DigiD audits niet op naar de letter, maar naar de geest: beveilig niet alleen de systemen die met DigiD werken, maar beveilig alle kwetsbare systemen. De bestuurder moet zich zichzelf dan ook de volgende vragen stellen:
Gaat de website die aan DigiD is gekoppeld de audit goed doorstaan?
Is de organisatie zodanig ingericht dat zij goed omgaat met wijzigingen in techniek, organisatie en omgeving zodat ook de komende jaren de audit goed wordt doorstaan?
Welke andere systemen dan die met DigiD zijn gekoppeld zijn kwetsbaar en hoe zouden deze zich houden bij een vergelijkbaar ICT beveiligingsassessment?
Door in het kielzogvan de DigiDaudit ook de andere twee vragen op te pakken werkt de organisatie aan structurele verbetering en worden de investeringen in tijd en middelen ook maximaal benut.
2. Overheidsorganisaties moeten er zelf voor zorgen dat zij veilig blijven. De door de Minister opgelegde ICT-beveiligingsassessments zijn geen oplossing. In de huidige opzet doen de audits enkel een uitspraak over de informatiebeveiliging op een bepaald moment in het verleden (het moment van de audit) en voor maar een beperkte scope (namelijk het systeem dat met DigiD communiceert). Met andere woorden: de DigiD audit controleert alleen of een van de vele ramen in uw huis vorige week dicht is geweest. Daarmee weet je niet of dit raam nu nog steeds dicht is en hoe het met de andere ramen zit.
Een DigiD audit is dus niet voldoende, maar een realistische oplossing ligt binnen handbereik. In de private sector is het binnen grote organisaties al jaren gebruikelijk om bedrijfsbrede diensten in te richten die de robuustheid van systemen en websites bewaken. Dit bewezen model kan door de overheid eenvoudig worden overgenomen door in gezamenlijkheid een vergelijkbare voorziening in te richten. De technische en financiële haalbaarheid is in de private sector al bewezen, wat nog ontbreekt is dat bestuurders echt wakker worden en bestuurlijke ambitie tonen.
Een artikel van Frank van Vonderen, management consultant bij Verdonk Klooster & Associates (VKA).