DigiD beveiligingsassessment

Transcriptie

1 DigiD beveiligingsassessment Centric Kenmerk DigiD koppeling: Gemeente Dantumadeel1

2 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor Achtergrond Opdrachtomschrijving Reikwijdte Aanpak Oordelen Beoogde gebruikers en doel van de rapportage 7 2 Criteria 8 3 Object van onderzoek 8 4 Verantwoordelijkheid gebruikersorganisatie 9 Totaal aantal pagina s in dit rapport: 10

3 Pagina 2 1 Assurancerapport van de onafhankelijke auditor 1.1 Achtergrond De minister van BZK wil een structurele en forse impuls geven aan de kwaliteitsverhoging van ICTbeveiliging bij overheidsorganisaties die gebruikmaken van DigiD. Deze organisaties moeten jaarlijks een ICT-beveiligingsassessment laten verrichten onder verantwoordelijkheid van een gekwalificeerde ITauditor (RE), teneinde de DigiD gebruikende organisaties en Logius inzicht te geven in de ICT-beveiliging van de webomgeving van DigiD-aansluiting. Onderdeel van het beveiligingsassessment is het toetsen van de norm die door Logius wordt gehanteerd voor de beveiliging van de DigiD-koppelingen. Deze norm staat bekend als Norm ICT-beveiligingsassessments DigiD. 1.2 Opdrachtomschrijving Ingevolge de opdracht van Centric hebben wij een DigiD-beveiligingsassessment uitgevoerd op de webomgeving zoals gespecificeerd in hoofdstuk 3 Object van onderzoek. Deze omgeving wordt via de DigiD-aansluiting met kenmerk Gemeente Dantumadeel1 van de gemeente Dantumadiel ontsloten. De opdracht omvatte het onderzoeken van de opzet en het bestaan van maatregelen en procedures gericht op de ICT-beveiliging van de webomgeving van de DigiD-aansluiting. Wij hebben geen werkzaamheden uitgevoerd met betrekking tot de werking van interne beheersingsmaatregelen van de DigiD-aansluiting en brengen daarover geen oordeel tot uitdrukking. Hoofdstuk 4 Verantwoordelijkheid gebruikersorganisatie verwijst naar de behoefte aan aanvullende interne beheersingsmaatregelen bij de gebruikersorganisatie. De opzet en het bestaan van deze aanvullende beheersingsmaatregelen hebben wij niet geëvalueerd. Wij willen benadrukken dat alleen aan de beveiligingsrichtlijnen van de Norm ICT-beveiligingsassessments DigiD wordt voldaan, indien de aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie samen met de interne beheersingsmaatregelen van de serviceorganisatie op afdoende wijze zijn opgezet en geïmplementeerd. De auditor van de gemeente moet deze beheersingsmaatregelen toetsen. 1.3 Reikwijdte Ons onderzoek richtte zich op de opzet en het bestaan van de maatregelen en procedures. Deze begrippen zijn als volgt te omschrijven: De door de cliënt beschreven beheersingsmaatregelen zijn toereikend voor het behalen van de in de criteria omschreven beheersingsdoelstellingen (opzet). De door de cliënt beschreven maatregelen zijn operationeel (bestaan) op een bepaald moment. Per norm geven wij een oordeel af over de opzet en het bestaan van de beheersingsmaatregel(en). Wij hebben geen werkzaamheden met betrekking tot de werking van interne beheersingsmaatregelen van de DigiD-aansluiting verricht en brengen daarover geen oordeel tot uitdrukking. Dit rapport is van toepassing op de applicatie DBB versie 5.0. Ten tijde van de audit was de applicatie DBB nog niet voor alle gemeenten geïmplementeerd.

4 Pagina Aanpak In deze paragraaf beschrijven wij de aanpak van onze werkzaamheden middels drie fasen. Per fase zullen wij hieronder kort uitleggen welke activiteiten in welke fase zijn uitgevoerd Planning beveiligingsassessment In deze fase hebben wij de uitvoering van het beveiligingsassessment gepland. Hiertoe hebben wij in overleg met Centric de sleutelfiguren bepaald en de interviews gepland. Tot slot hebben wij de noodzakelijke documentatie bij Centric opgevraagd Uitvoeren beveiligingsassessment In deze fase hebben wij het daadwerkelijke beveiligingsassessment uitgevoerd. De opzet van de interne beheersingsmaatregelen die ten grondslag liggen aan de normen, hebben wij getoetst door het houden van interviews, directe waarnemingen van maatregelen en het bestuderen van documentatie. Het bestaan is door ons getoetst door voor de beoogde beheersingsmaatregelen vast te stellen of ze op een bepaald moment zijn nageleefd conform opzet. Het bestaan is getoetst op basis van één lijncontrole waarbij wij tevens een oordeel af hebben gegeven in hoeverre aan de norm is voldaan Rapportage In de laatste fase is onze evaluatie van de aangetroffen situatie vastgelegd in een concept rapport, waarin wij een uitspraak doen over de opzet en het bestaan van maatregelen en procedures gericht op de ICT-beveiliging van de webomgeving van de DigiD-aansluiting met kenmerk Gemeente Dantumadeel1. In het rapport geven wij per norm een oordeel. Het concept rapport is met Centric afgestemd. We hebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, waaronder de NOREA Richtlijn 3000, Richtlijn Assurance-opdrachten door IT-auditors. Dit vereist dat wij voldoen aan de voor ons geldende ethische voorschriften en onze werkzaamheden zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordt verkregen over de vraag of de interne beheersingsmaatregelen, in alle van materieel belang zijnde aspecten, op afdoende wijze zijn opgezet en bestaan per 18 november Het rapportageformaat is gebaseerd op het formaat dat tot stand is gekomen in overleg met NOREA. Een assurance-opdracht om te rapporteren over opzet en bestaan van interne beheersingsmaatregelen bij een organisatie omvat het uitvoeren van werkzaamheden ter verkrijging van assurance-informatie over de opzet en het bestaan van interne beheersingsmaatregelen. De geselecteerde werkzaamheden zijn afhankelijk van de door de auditor van de organisatie toegepaste oordeelsvorming, met inbegrip van het inschatten van de risico s dat de interne beheersingsmaatregelen niet op afdoende wijze zijn opgezet bestaan. of niet

5 Pagina Beperkingen Onze verantwoordelijkheid is, op basis van onze werkzaamheden, het geven van oordelen per beveiligingsrichtlijn van de Norm ICT-beveiligingsassessments DigiD van Logius, over de opzet en het bestaan van de maatregelen gericht op de ICT-beveiliging van de webomgeving van de DigiD-aansluiting. Centric is verantwoordelijk voor de beschrijving van het object van onderzoek, het verlenen van DigiDdiensten, het onderkennen van de beveiligingsrisico s van de DigiD-webomgeving en het opzetten en implementeren van interne beheersingsmaatregelen om te voldoen aan de Norm ICTbeveiligingsassessments DigiD van Logius. Wij zijn afhankelijk van de medewerkers van Centric ten aanzien van de juistheid en volledigheid van de verstrekte informatie. Wij kunnen geen verantwoordelijkheid aanvaarden voor wijzigingen in de door ons gehanteerde feiten en omstandigheden na de datum waarop wij de desbetreffende werkzaamheden hebben afgerond, tenzij wij tijdig van de wijzigingen in de door ons gehanteerde feiten en omstandigheden op de hoogte zijn gebracht. De Norm ICT-beveiligingsassessments DigiD is een selectie van beveiligingsrichtlijnen uit de ICTbeveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC) en daarom zijn we niet in staat om een overall oordeel te verschaffen omtrent de beveiliging van de DigiDaansluiting. Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact hebben op de veiligheid van DigiD-webapplicaties. Wij adviseren de organisatie om in aanvulling op de richtlijnen in de Norm ICT-beveiligingsassessments DigiD, ook de andere richtlijnen uit de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC te adopteren. Wij wijzen u erop dat, indien wij aanvullende beveiligingsrichtlijnen zouden hebben onderzocht wellicht andere onderwerpen zouden zijn geconstateerd die voor rapportering in aanmerking zouden zijn gekomen. Wij hebben geen werkzaamheden met betrekking tot de werking van interne beheersingsmaatregelen van DigiD-aansluiting verricht en brengen daarover geen oordeel tot uitdrukking. In het volgende hoofdstuk geven wij onze oordelen ten aanzien van de Norm ICTbeveiligingsassessments DigiD.

6 Pagina Oordelen Onze oordelen zijn gevormd op basis van de werkzaamheden zoals ze zijn beschreven in paragraaf 1.4 en gelden alleen voor de applicatie DBB versie 5.0. De criteria waarvan wij gebruik hebben gemaakt, zijn opgenomen in onderstaande tabel en een toelichting is te vinden in hoofdstuk 2. Per beveiligingsrichtlijn van de Norm ICT-beveiligingsassessments DigiD van Logius, hebben wij hieronder vermeld of met redelijke mate van zekerheid wordt voldaan aan de beveiligingsrichtlijn. Legenda ý Beschrijving Voldoet aan de gestelde eisen. Voldoet niet aan de gestelde eisen. Nr. Beschrijving van de beveiligingsrichtlijn Oordeel B0 B0-5 B0-6 Algemene beveiligingsrichtlijnen Infrastructuur Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Software Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen. - 1 B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-8 Penetratietests worden periodiek uitgevoerd. B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst. B1 B1-1 Netwerkbeveiliging Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. 1 Naar ons oordeel geeft, in alle van materieel belang zijnde opzichten, de beschrijving de beheersmaatregel getrouw weer zoals deze per 18 november 2013 is opgezet en geïmplementeerd. Wij hebben vastgesteld dat de applicatie DBB volledig opnieuw is opgebouwd in een project aanpak. Derhalve hebben wij het bestaan van het Change Management Centric IT Solutions BU Belastingen niet kunnen vaststellen.

7 Pagina 6 Nr. Beschrijving van de beveiligingsrichtlijn Oordeel B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2 Platformbeveiliging B2-1 Maak gebruik van veilige beheermechanismen. B3 B3-1 Applicatiebeveiliging De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. B3-3 De webapplicatie normaliseert invoerdata voor validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 B3-6 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. B5 Vertrouwelijkheid en onweerlegbaarheid B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. B5-3 Sla gevoelige gegevens versleuteld of gehashed op. 2 B5-4 Versleutel cookies. B7 Monitoring, auditing en alerting B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). 2 Wij hebben het bestaan vastgesteld van de technische implementatie van deze beheersingsmaatregel (versleutelen of hashen van gegevens). De procedurele implementatie van de beheersingsmaatregel (dataclassificatie) is door Centric na het moment van de audit opgeleverd.

8 Pagina 7 Nr. Beschrijving van de beveiligingsrichtlijn Oordeel B7-8 Voer actief controles uit op logging. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. 1.6 Beoogde gebruikers en doel van de rapportage Onze schriftelijke rapportage (zonder bijlagen) is alleen bestemd voor Centric, de gemeente Dantumadiel en Logius aangezien anderen, die niet op de hoogte zijn van de precieze scope, aard en doel van de werkzaamheden, de resultaten onjuist kunnen interpreteren. De rapportage (zonder bijlagen), onderdelen of samenvattingen daarvan mogen niet mondeling of schriftelijk aan derden beschikbaar worden gesteld zonder onze voorafgaande schriftelijke toestemming. Bijlage 1 en 2 zijn alleen bestemd voor Centric en mogen niet zonder schriftelijke toestemming van EY en Centric aan derden beschikbaar worden gesteld. Voor zover het Centric, de gemeenten en Logius is toegestaan het rapport aan derden beschikbaar te stellen, zal het rapport origineel, volledig en ongewijzigd beschikbaar worden gesteld. Indien de producten van onze werkzaamheden aan derden ter beschikking worden gesteld, dient erop te worden gewezen dat zonder onze uitdrukkelijke voorafgaande schriftelijke toestemming geen rechten aan het product kunnen worden ontleend. Het verstrekken van deze toestemming kan omgeven zijn met nadere voorwaarden. Den Haag, 19 december 2013 Ernst & Young Advisory ir. J.G.G.V. van den Boom RE CRISC Partner IT Risk and Assurance

9 Pagina 8 2 Criteria Logius heeft de richtlijnen geselecteerd waarvan zij vindt dat deze de hoogste impact hebben op de veiligheid van DigiD-webapplicaties. In dit onderzoek zullen wij ons puur op Norm ICTbeveiligingsassessments DigiD richten. De criteria waarvan gebruik wordt gemaakt bij het uitvoeren van de assurance-opdracht hielden in dat: de interne beheersingsmaatregelen die verband houden met de beveiligingsrichtlijnen op afdoende wijze zijn opgezet en daadwerkelijk zijn geïmplementeerd. de risico s die het voldoen aan de beveiligingsrichtlijnen in gevaar brengen en daarmee de betrouwbaarheid van DigiD aantasten, werden onderkend. de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico s het voldoen aan beveiligingsrichtlijnen niet zouden verhinderen. 3 Object van onderzoek Centric biedt de Digitale Belasting Balie aan waarvoor de DigiD-aansluiting ter authenticatie wordt gebruikt. Deze applicatie betreft geheel maatwerk en wordt onderhouden door Centric. De infrastructuur waar deze applicaties op worden gehost, wordt beheerd door Centric SMC. De versie die door EY is onderzocht is versie 5.0. De producten van gemeente Dantumadiel zijn extern benaderbaar via

10 Pagina 9 4 Verantwoordelijkheid gebruikersorganisatie Hoofdstuk 4 Verantwoordelijkheid gebruikersorganisatie verwijst naar de behoefte aan aanvullende interne beheersingsmaatregelen van de gebruikersorganisaties (gemeente Dantumadiel). De geschiktheid van de opzet, het bestaan of de werking van deze aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie hebben wij niet geëvalueerd. Aan de beveiligingsrichtlijnen van de Norm ICT-beveiligingsassessments DigiD van Logius wordt alleen voldaan, indien aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie samen met de interne beheersingsmaatregelen van de serviceorganisatie (Centric) op afdoende wijze zijn opgezet en geïmplementeerd. De auditor van de gemeente moet deze beheersingsmaatregelen toetsen. In de onderstaande tabel wordt aangegeven welke verantwoordelijkheden bij de gemeenten moet worden geïmplementeerd om te voldoen aan de beveiligingsrichtlijn van de Norm ICT-beveiligingsassessments DigiD van Logius. Nr. BO-12 BO-13 BO-14 Beschrijving van de beveiligingsrichtlijn Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. Leg afspraken met leveranciers vast in een overeenkomst. B5-3 Sla gevoelige gegevens versleuteld of gehashed op. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Verantwoordelijkheden gemeente De gemeente Dantumadiel moet maatregelen ontwerpen en inrichten met betrekking tot toegangsbeveiliging en beheer. Hierbij valt te denken aan het gebruikersbeheer van joiners/movers/leavers, beheeraccounts, gedeelde accounts en periodieke review. De gemeente Dantumadiel moet signaleren dat niet (meer) gebruikte websites en/of informatie worden verwijderd. Hierbij valt te denken aan: registratie, eigenaarschap en periodieke review. De gemeente Dantumadiel moet afspraken met Centric vastleggen in een overeenkomst. Hierbij valt te denken aan het addendum op Raamcontract. De gemeente Dantumadiel moet een gegevensclassificatie uitvoeren op de gegevens die via de DigiD-omgeving worden ontsloten. De gemeente Dantumadiel moet haar eigen informatiebeveiliging te waarborgen. Hierbij valt te denken aan informatiebeveiligingsbeleid in brede context en specifiek het proces ten aanzien van preventie, detectie en response inzake informatiebeveiliging.

11 Pagina 10 Bijlagen bij rapport d.d. 19 december 2013 Centric, Gouda De bijlagen in deze rapportage zijn strikt vertrouwelijk en alleen bedoeld voor Centric. Deze DigiD beveiligingsassessment is uitgevoerd ten behoeve van de gemeente Dantumadiel en de DigiD-koppeling met kenmerk Gemeente Dantumadeel1.