Bijeenkomst DigiD-assessments

Transcriptie

1 Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014

2 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen / discussiepunten B0-5 Wijzigingenbeheer mbt formulieren B5-3 Sla gevoelige gegevens versleuteld of gehashed op Hoe te handelen bij geen populatie Code review Object van onderzoek hoofdrapport vrs. bijlage Logius norm Knelpunten t.a.v. de gebruikte norm Beoordeling van de werking 2

3 DigiD assessments in beeld - Plasterk Op 9 juli heeft de heer Plasterk een kamerbrief gestuurd. Enkele highlights daarvan zijn: Het veiligheidsbewustzijn van publieke dienstverleners is aanzienlijk toegenomen. Van de bijna 500 organisaties die zijn aangesloten op DigiD heeft niet één organisatie een resultaat laten zien waarbij er sprake was van een acuut beveiligingsrisico. In 5% van de gevallen was er, op grond van de auditresultaten, sprake van een dusdanig hoog risico dat dit zo snel mogelijk, binnen enkele weken, is opgelost. Er is vooralsnog geen aanleiding om het normenkader te wijzigen. De uiterste inleverdatum voor het assessmentrapport is in het vervolg vóór 1 mei. Daarbij geldt tevens dat het assessmentrapport niet eerder dan 1 januari mag worden ingediend. Daarnaast is bepaald dat nieuwe afnemers van DigiD binnen 2 maanden na aansluiting op DigiD een assessment dienen uit te voeren. 3

4 DigiD assessments in beeld - NOREA De DigiD audit heeft ontegenzeggelijk een positieve bijdragen geleverd aan het beveiligingsbewustzijn van publieke dienstverleners en de beveiliging de DigiD webomgevingen. Toch beklijft het gevoel dat we niet aan de maatschappelijk verwachting voldoen: We testen slechts 28 van de 59 NCSC beveiligingsrichtlijnen; We testen slechts opzet en bestaan. Niet de werking; We geven 28 individuele oordelen en geen oordeel over de informatiebeveiliging als geheel. We moeten de discussie aangaan of, en hoe, we beter aan de maatschappelijke verwachting kunnen voldoen. 4

5 DigiD assessment 2014 Wat is niet veranderd: De Logius norm; De scope van de assessment; Betreffende een oordeel per beveiligingsrichtlijn; Over de opzet en het bestaan; Carve out bij gebruik TPM; Assurance opdracht op basis van NOREA 3000 richtlijn. Wat is wel veranderd: De rapportage template is aangepast; De opleverdatum is tussen 1 januari 2015 en 1 mei 2015 (overigens mag het assessment wel eerder plaatsvinden). 5

6 Rapportage template Belangrijkste aanpassingen in de rapportage template: Vermelding van aansluitnummer en aansluitnaam. Een nieuwe bijlage C met een totaaloverzicht van de conclusies (inclusief TPMs). Standaard lijst met beveiligingsrichtlijnen die bij de gebruikersorganisatie moeten worden getoetst (B0-5, B0-12, B0-13, B0-14, B5-3 en B7-9) en verplichte toelichting indien wordt afgeweken. Onderscheid tussen de basistekst en de optionele teksten voor gebruik in verband met TPM/Serviceorganisatie(s) is duidelijker aangebracht, d.m.v. grijze markering. 6

7 Rapportage template Bijlage C 7

8 Rapportage template Andere aandachtpunten: De applicaties en de versie waarvoor een assessment geldt moet duidelijk worden vermeld. De oordelen zijn voldoet of voldoet niet (zonder toevoegingen zoals: voldoet deels). Bij niet voldaan moet wel een toelichting geven waarom niet is voldaan. Indien geen oordeel wordt gegeven over een norm die (redelijkerwijs) in scope verwacht mag worden dient dit duidelijk te worden gemotiveerd. Op de voorpagina en in paragraaf 1.6 (bij ondertekening door RE) de datum aanbieding rapport opnemen. In paragraaf 1.4 en 1.5 de datum van het oordeel over opzet en bestaan. Het rapport met bijlage C is voor opdrachtgever en Logius. Het rapport met alle bijlagen (A, B en C) is alleen voor de opdrachtgever. 8

9 Third Party Mededelingen Opstellen van TPM rapporten: TPM rapporten moeten worden opgesteld conform de NOREA rapportage template. De applicaties en de versie waarvoor een assessment geldt moet duidelijk worden vermeld. Er kunnen meerdere varianten van een TPM nodig zijn b.v. hosting bij de leverancier t.o.v. interne hosting. Beoogde gebruikers: Onze schriftelijke rapportage (zonder bijlagen) is alleen bestemd voor <opdrachtgever>, haar cliënten en hun auditors en Logius aangezien Hoofdstuk 4: verantwoordelijkheid gebruikersorganisatie bevat de standaard lijst met beveiligingsrichtlijnen die bij de gebruikersorganisatie moeten worden getoetst (B0-5, B0-12, B0-13, B0-14, B5-3 en B7-9) en verplichte toelichting indien wordt afgeweken. Bij voorkeur informatie verstrekken waarmee kan worden vastgesteld dat deze daadwerkelijk van toepassing is voor de gebruikersorganisatie. 9

10 Third Party Mededelingen Standaard lijst met beveiligingsrichtlijnen die bij de gebruikersorganisatie: B0-5 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst. B5-3 Sla gevoelige gegevens versleuteld of gehashed op. B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. 10

11 Third Party Mededelingen Bij het gebruik van een TPM rapport dient de auditor vast te stellen dat de TPM: Daadwerkelijk van toepassing op de betreffende organisatie. Opgesteld conform de NOREA template. Ondertekend is door een RE. Geldig is voor de voor de assessment bij de organisatie: de geldigheid van een TPM is gesteld op 12 maanden met als beperking dat een TPM maar één keer mag worden gebruikt voor een assessment. Verder dient de auditor: Navolging te geven aan de verantwoordelijkheden gebruikersorganisatie. Vast te stellen dat de oordelen van de gebruikersorganisatie tezamen met de oordelen van de TPM(s) de scope juist en volledige afdekken. 11

12 Overige toelichtingen / discussiepunten B0-5: Wijzigingenbeheer met betrekking tot formulieren Wijzigingen doen zich voor op de volgende lagen: Infrastructuur -> in scope Applicatie -> in scope Formulieren -> in scope? In sommige gevallen kunnen formulieren worden gebouwd die beveiligingsrisico s introduceren en valt wijzigingenbeheer met betrekking tot formulieren wel in scope van de DigiD assessment. Is dit niet het geval valt wijzigingenbeheer met betrekking tot formulieren niet in scope. Welke specifieke situatie zich voordoet hangt af van de applicatie (formulierengenerator) en de wijze waarop deze wordt gebruikt. Het is aan de auditor te bepalen of er aanleiding is om wijzigingenbeheer ten aanzien van formulieren in de DigiD scope op te nemen. 12

13 Overige toelichtingen / discussiepunten B5-3 Sla gevoelige gegevens versleuteld of gehashed op Classificatie conform de WBP van gegevens die met DigiD worden ontsloten en identificatie van gevoelige gegevens die mogelijk versleuteling / hashing vereisen. Overleg met de applicatie leverancier / hosting provider betreffende mogelijke eisen tot versleuteling / hashing van gevoelige gegevens. Inrichting van de netwerkarchitectuur zodat gevoelige gegevens zonodig met een extra beveiliging laag worden afgeschermd. Encryptie / hashing van gevoelige gegevens. n.b. Indien de gegevens niet in het DMZ staan van de DigiD applicatie, vallen ze buiten de scope van de DigiD assessment. 13

14 Overige toelichtingen / discussiepunten Hoe te handelen bij geen populatie Problematiek Het oordeel betreft één oordeel over de opzet en het bestaan. In gevallen dat er geen populatie is geweest kan het bestaan niet worden getest en zou er dus geen conclusie kunnen worden gegeven. Aanpak 14

15 Overige toelichtingen / discussiepunten Code review Verkrijging van voldoende audit evidence Ten aanzien van beveiligingsrichtlijnen B3-3, B3-4 en B3-5 kan zonder een code review slechts indirect bewijs worden vergaart. Ten aanzien van beveiligingsrichtlijnen B3-1, B3-2 en B3-6 zou een code review de mate van zekerheid verhogen. Problematiek Het is niet altijd mogelijk om toegang tot de sourcecode te verkrijgen. Validatie dat de juiste / volledige code wordt gereviewed is lastig. Dode code kan false positives genereren. Aanpak Conform eerdere uitspraken van Logius en NOREA kunnen de oordelen worden gebaseerd op de webapplicatiescan en is een code review niet vereist. Bij voorkeur zou aanvullend wel een code review moeten worden uitgevoerd. 15

16 Overige toelichtingen / discussiepunten Object van onderzoek hoofdrapport vrs. bijlage Hoofdrapport: Doel is het object van onderzoek te beschrijven en af te bakenen. Welke DigiD aansluiting betreft het. Welke functionaliteit (WOZ, burgerzaken, parkeervergunningen, etc.) wordt geboden. Welke software (+versie) wordt gebruikt. Welke leveranciers zijn betrokken en afbakening van verantwoordelijkheden. Toelichting indien wordt afgeweken van de standaard lijst met beveiligingsrichtlijnen die bij de gebruikersorganisatie horen. Schematisch overzicht van het netwerk. Het object van onderzoek in het hoofdrapport moet geen vertrouwelijk informatie bevatten zoals (interne) IP adressen, netwerkarchitectuur, gebruikte technologieën, etc. Bijlage In de bijlage kan naar keuze meer detail en de meer vertrouwelijke informatie worden opgenomen. 16

17 Logius norm Gebruikte norm Problematiek Normen zijn voorschrijvend opgenomen, zonder dat er sprake is van een verwijzing naar en risico dat moet worden afgedekt waardoor er soms weinig ruimte voor interpretatie over blijft. Een aantal normen heeft meer het karakter van een maatregel. De normen hebben een statisch karakter (kunnen praktijkontwikkeling snel genoeg worden opgevolgd?). Is de selectie van 28 beveiligingsrichtlijnen adequaat? Oplossingsrichting NCSC is in de afrondende fase van nieuwe versie van de ICT-Beveiligingsrichtlijnen voor webapplicaties. De structuur is aangepast, risico s zijn toegevoegd en het onderscheid tussen norm en maatregel is versterkt. Vanuit BZK is de BIR geïntroduceerd en vanuit KING/IBD de BIG waarbij raakvlakken/overlap ontstaat. NOREA zou veel grotere rol moeten spelen bij het vaststellen van het normenstelsel. 17

18 Logius norm Beoordeling van opzet, bestaan (en werking?) Problematiek De beeldvorming wordt toch gewekt dat bij het voldoen aan de Logius norm de webomgeving veilig is. Is het maatschappelijk uit te leggen om jaren achter elkaar uitsluitend de opzet en bestaan te beoordelen. Zijn de kosten die gemoeid gaan met een uitgebreidere normenstelsel en het toetsen van de werking te verantwoorden door een beter informatiebeveiliging / oordeel over de informatiebeveiliging. Zijn wij als beroepsgroep in staat om een totaaloordeel over de opzet, bestaan en werking van informatiebeveiliging te verstrekken? Oplossingsrichting Start de discussie. 18

19 Links

20 Bedankt Voor meer informatie kun je contact opnemen met: Jacques Herman NOREA 2 december 2014