KPN Consulting ontwikkelt DigiD Scan voor gemeenten
KPN Consulting en Gemnet* hebben een DigiD Scan ontwikkeld waarmee overheidsorganisaties kunnen bepalen of zij voldoen aan de veiligheidseisen die DigiD-beheerder Logius stelt.
De overheid gebruikt DigiD steeds vaker als digitale handtekening voor het aanvragen van zaken zoals vergunningen of het doen van belastingaangifte. Doordat het systeem de afgelopen jaren met veel problemen kampte en daardoor veel kritiek kreeg besloot de regering onlangs om het ‘ICT-beveiligingsassessment DigiD’ te introduceren, een soort veiligsheidskeurmerk voor de toepassing van DigiD. Voor het einde van 2013 moeten alle organisaties die gebruikmaken van DigiD het ‘ICT-beveiligingsassessment DigiD’ doorstaan.
DigiD Scan
De DigiD Scan van het adviesbureau helpt gemeentes en instellingen met de implementatie van de nieuwe veiligheidsstandaard en met de voorbereiding op de officiële EDP-audit. De aanpak helpt instellingen te voldoen aan de 28 normen van het assessment en volgt daarvoor het zesstappenplan dat DigiD-beheerder Logius heeft opgesteld.
“Het begint met een nulmeting”, vertelt Hans Rosenberg, adviseur bij KPN Consulting. “Deze geeft inzicht in het huidige niveau van de informatiebeveiliging. Aan de hand daarvan brengen we een rapport uit met maatregelen die de klant kan treffen om de situatie te verbeteren”. Stap drie is een penetratietest waarbij met behulp van ‘ethical hacking’ mogelijke kwetsbaarheden aan het licht komen. “Vervolgens moeten die aandachtpunten worden aangepakt zodat de organisatie klaar is voor de een-na-laatste stap: het ICT-assessment dat wordt uitgevoerd door een Register EDP-auditor”. De laatste stap is een rapportage op basis waarvan Logius bepaalt of de organisatie voldoet aan de normering.
Tijd dringt
KPN Consulting adviseert gemeenten om op korte termijn te beginnen met de voorbereidingen. “Theoretisch is de doorlooptijd van de scan gemiddeld acht weken. Tel daar eventuele aanpassingen en vakantieperioden bij op, en het einde van het jaar is in zicht. Is de boel dan niet op orde, dan volgen er rigoureuze maatregelen. De gevolgen van géén DigiD zijn natuurlijk groot”. Waar organisaties volgens Rosenberg ook rekening mee moet houden zijn de diensten die ze aan derden uitbesteden. “Veel gemeenten hebben in meer of mindere mate hun website uitbesteed bij externe leveranciers. Ook die partijen moeten voldoen aan de normen”.
* Gemnet is een dochterbedrijf van KPN dat zich richt op de publieke sector.