VKA: DigiD audits meten IT beveiliging onvoldoende

26 september 2012 Consultancy.nl

Iedere overheidsorganisatie die gebruik maakt van DigiD voor de ontsluiting van haar elektronische dienstverlening krijgt de komende jaren te maken met audits op de beveiliging van de DigiD aansluiting. Deze DigiD audits moeten dienen als wekker, maar als bestuurders niet wakker worden, hebben de audits hooguit een sluimer-functie stelt Frank van Vonderen van Verdonk Klooster & Associates.
 
Na DigiNotar en Lektober is duidelijk geworden dat het voor overheidsorganisaties steeds belangrijker is om hun informatiebeveiliging op orde te hebben. Door de talrijke issues staat het vertrouwen in de elektronische overheid onder druk.
 
De Minister van Binnenlandse Zaken heeft daarom op 2 februari 2012 in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken voor eind 2013 met een ICT-beveiligingsassessment moet aantonen dat de beveiliging op orde is. Deze assessments dienen jaarlijks te worden herhaald en het is verplicht de resultaten te rapporteren aan Logius, de beheerder van DigiD.
 
Het ICT-beveiligingsassessment voor DigiD bestaat uit twee elementen:
- een procedurele en een technische toets tegen een normenkader dat door DigiD beheerder Logius is geselecteerd op grond van richtlijnen van het Nationaal Cyber Security Center (NCSC);
- een penetratietest, ook wel 'ethical hacking test' genoemd, waarbij geprobeerd wordt in te breken. Dit is hetzelfde al wat hackers doen, maar dan gecontroleerd.
 
Verwacht niet bij voorbaat een succesvolle uitkomst: eerste proefaudits bij decentrale overheden wijzen uit dat de kans groot is dat organisaties op meerdere en serieuze tekortkomingen stuiten. Hoewel de audits het onderwerp informatiebeveiliging ondubbelzinnig op de agenda zetten, zijn DigiD audits alleen niet voldoende. Een audit biedt immers maar beperkte zekerheid: tijdens een DigiD audit wordt alleen gecontroleerd of één van de vele ramen in uw huis vorige week dicht is geweest.
 
Om het sein 'veilig' te kunnen geven en om veilig te blijven zijn twee dingen nodig:
 
1. Overheidsorganisaties pakken de DigiD audits niet op naar de letter, maar naar de geest: beveilig niet alleen de systemen die met DigiD werken, maar beveilig alle kwetsbare systemen. De bestuurder moet zich zichzelf dan ook de volgende vragen stellen:
Gaat de website die aan DigiD is gekoppeld de audit goed doorstaan?
Is de organisatie zodanig ingericht dat zij goed omgaat met wijzigingen in techniek, organisatie en omgeving zodat ook de komende jaren de audit goed wordt doorstaan?
Welke andere systemen dan die met DigiD zijn gekoppeld zijn kwetsbaar en hoe zouden deze zich houden bij een vergelijkbaar ICT beveiligingsassessment?
Door in het kielzogvan de DigiDaudit ook de andere twee vragen op te pakken werkt de organisatie aan structurele verbetering en worden de investeringen in tijd en middelen ook maximaal benut.
 
2. Overheidsorganisaties moeten er zelf voor zorgen dat zij veilig blijven. De door de Minister opgelegde ICT-beveiligingsassessments zijn geen oplossing. In de huidige opzet doen de audits enkel een uitspraak over de informatiebeveiliging op een bepaald moment in het verleden (het moment van de audit) en voor maar een beperkte scope (namelijk het systeem dat met DigiD communiceert). Met andere woorden: de DigiD audit controleert alleen of een van de vele ramen in uw huis vorige week dicht is geweest. Daarmee weet je niet of dit raam nu nog steeds dicht is en hoe het met de andere ramen zit.
 
Een DigiD audit is dus niet voldoende, maar een realistische oplossing ligt binnen handbereik. In de private sector is het binnen grote organisaties al jaren gebruikelijk om bedrijfsbrede diensten in te richten die de robuustheid van systemen en websites bewaken. Dit bewezen model kan door de overheid eenvoudig worden overgenomen door in gezamenlijkheid een vergelijkbare voorziening in te richten. De technische en financiële haalbaarheid is in de private sector al bewezen, wat nog ontbreekt is dat bestuurders echt wakker worden en bestuurlijke ambitie tonen.
 
Een artikel van Frank van Vonderen, management consultant bij Verdonk Klooster & Associates (VKA).

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup