makkelijke en toch veilige toegang

Transcriptie

1 voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012

2 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer dan 6 miljoen werkenden in de private sector en ruim 1 miljoen in overheidsdienst (ambtenaren) ca. 1 miljoen bedrijven ca. 900 overheidsorganisaties

3 Voor zowel publieke als private dienstverlening! private diensten publieke diensten

4 Het elektronische dienstverleningsproces dienst afnemer dienst aanbieder 1. ik wil deze dienst 2. dat kan, maar wie ben je? identiteiten autorisaties 3. ik ben e-id X 4. ik ga na wie e-id X is 5. volgens de registratie ben je Eric 6. ik controleer Eric z n autorisaties en machtigingen 7. welkom Eric, je mag de dienst afnemen, hier is ie!

5 De top 5 van risico s en inefficiëntie te veel sleutels te weinig keuze van middel GBA privacy gewaarborgd? veilig? onvoldoende beschikb voor bedrijf en ambtenaar identiteiten autorisaties identiteiten geen generieke voorziening voor ambtenaren 2 dure aparte voorzieningen

6 Zo ging dit bijvoorbeeld niet goed. Matthijs Claessen, Logius

7 Minister van BZK, verantwoordelijk voor DigiD Minister Donner Datum 11 oktober 2011 Brief betreffende Lekken in een aantal gemeentelijke websites alle organisaties waarvan blijkt dat de ICT gecompromitteerd is per direct afkoppelen van DigiD weer aansluiten nadat hun ICT beveiliging (voor zover die DigiD kan raken) weer op orde is Alle DigiD gebruikende organisaties uiterlijk voor het einde van het eerste kwartaal van 2012 een ICT beveiligings-assessment Minister Spies Datum 2 februari 2012 Brief betreffende ICT-beveiligingsassessments DigiD gebruikende organisaties Gefaseerde aanpak, DigiD grootgebruikers in 2012, alle DigiD gebruikende organisaties in 2013.

8 Logius, beheerder van DigiD BZK directie Burgerschap en Informatiebeleid legt coördinatie bij Logius. Logius heeft samen met RAD, BZK/B&I en NCSC de aanpak, de richtlijn en de norm uitgewerkt. Logius onderhoudt een webpagina met informatie: Hier staat informatie over: Norm Toetsing Scope toetsing Deadline Gemeenten Stappen Veelgestelde vragen Contact Documentatie (bijvoorbeeld pentest handreiking)

9 DigiD gebruikende organisaties Stappen voor het assessment 1. zelf toetsen aan de hand van de richtlijnen 2. maatregelen treffen 3. penetratietest uitvoeren 4. bevindingen penetratietest oplossen 5. audit uitvoeren 6. bevindingen naar Logius sturen Ondersteuning vanuit diverse partijen: Logius, KING, NCSC, NOREA Logius houdt contact met de andere partijen en zal documenten en resultaten waar toepasbaar beschikbaar stellen voor alle DigiD gebruikende organisaties. Meest tastbare traject loopt bij KING; de impact analyse.

10 KING start met impactanalyse Aanleiding: uitvoerbaarheid audits In opdracht van BZK en VNG Doel: gestandaardiseerde aanpak Verwachten d.m.v. kennisdeling en bundelen audit en pentest-activiteiten efficiency te bewerkstelligen; besparing tijd en geld Pilot met 10 gemeenten en hun leveranciers Contacten met EDP auditors, pentesters, diverse CMS/Midoffice/formulieren/hosting-leveranciers Planning: resultaten eind mei gevolgd door planning audits overige gemeenten.

11 Onderzoeksvragen impactanalyse Is de norm voor de assessments toepasbaar op gemeenten? Wat is de gemiddelde inspanning van de gemeente, van de leverancier en van de RE-auditor? Is een pentest per gemeente noodzakelijk of kan dat gecombineerd in samenwerking met de leveranciers? Wat is de uitkomst van de audits en de pentesten? Indien onvoldoende: hoe is dat door preventieve maatregelen bij gemeenten en leveranciers, of fasering onder controle te krijgen? Wat is de meest effectieve ondersteuning aan gemeenten en leveranciers door VNG/KING, Logius en NCSC om het proces binnen tijd, kwaliteit en middelen af te ronden?

12 Afbakening scope voor DigiD Audit Het advies aan gemeenten is om de NCSC richtlijn zo breed mogelijk op te pakken, maar de audit beperkt zich tot de norm Logius geeft aan: de internet-facing webpagina's, infrastructuur die met DigiD gekoppeld is. Pentest richt zich met name op de frontoffice applicaties, 'is de voordeur goed op slot'? EDP audit richt zich ook wat breder op het beheer van het systeemlandschap 'staat de achterdeur niet open Aanpak: Gemeenten en auditors geselecteerd 0-meting gedaan Gemeenten aan de slag met 0-meting o.b.v. boodschappenlijstje EDP-IT Auditors, pentesters en gemeenten nu gestart met de audit

13 WENS Een gemeenschappelijk, Nationaal stelsel voor: burger autorisaties en machtigingen identiteiten bedrijf authenticatiemiddelen overheid

14 en toch veilig! door deze balans en een proces van audit en control.