Onderweg naar een eenduidigere en consistente DigiD ICTbeveiligingsassessment Afstudeer scriptie Versie: 0.9 Auteur: Mourad Hajjouji (2515129) Datum: 10 september 2015 Opleiding: Vrije Universiteit Amsterdam: Post Graduate IT Audit Scriptienummer: 2045 I
DE HARDSTE STRIJD ONTSTAAT NIET DOORDAT MENING OP MENING BOTST, MAAR ALS TWEE MENSEN HETZELFDE ZEGGEN EN ER OVER DE INTERPRETATIE VAN DATZELFDE WORDT GEVOCHTEN. SÖREN KIERKEGAARD; DEENS FILOSOOF 1813-1855 II
VOORWOORD Deze scriptie is het resultaat van mijn afstudeerproject aan de Vrije Universiteit te Amsterdam. Het onderzoek is uitgevoerd in het kader van het afronden van de Postgraduate Opleiding IT Audit, Compliance & Advisory aan de Faculteit der Economische Wetenschappen en Bedrijfskunde. Door veel betrokken te zijn geweest bij DigiD assessments kwam ik in aanraking met het DigiD normenkader. Mijn ervaring met de klanten waar ik DigiD assessments uitvoerde leerde mij dat er verschillende interpretaties bestonden rondom de richtlijnen uit het normenkader. De klanten vonden dat ze voldeden aan bepaalde normen (door te vergelijken met andere gemeenten die voldeden aan de richtlijnen) en wij als controlerende organisatie vonden dat ze niet voldeden. De discussies met de klanten resulteerde uiteindelijk in ontevreden klanten die het niet eens waren met de gepubliceerde rapporten en dus voor de eerstvolgende assessment gebruik zouden maken van een IT audit organisatie waarbij hun opzet en bestaan wel voldeed aan de richtlijn. Deze discussies zorgde ervoor dat ik een geschikt onderwerp vond om mijn studie af te ronden. Graag bedank ik mijn begeleider Paul Harmzen, RE RA (Vrije Universiteit) voor zijn begeleiding en ondersteuning bij de uitvoering van dit onderzoek en de totstandkoming van deze scriptie. Tevens bedank ik de IT auditors die deel hebben genomen aan dit onderzoek. Zonder de mening van deze IT auditors was ik niet in staat geweest om de informatie te verzamelen die nodig was voor dit onderzoek. Mourad Hajjouji Amsterdam, september 2015 III
SAMENVATTING De introductie van internet heeft vele soorten van dienstverlening in de wereld veranderd. Onder andere de wijze waarop we ons kunnen legitimeren bij de overheid. Men kan zich via het internet steeds meer elektronisch legitimeren. Sinds enkele jaren is DigiD in Nederland geïntroduceerd. DigiD is het digitale authenticatiemiddel voor overheidsinstanties en organisaties die een overheidstaak uitvoeren. DigiD staat voor Digitale Identiteit en is een persoonlijke combinatie van een gebruikersnaam en een wachtwoord (Rijksoverheid, 2014). De DigiD haalt helaas regelmatig op een negatieve wijze de landelijke media. Denk aan de DigiNotar affaire uit 2011 waarbij het bedrijf dat de beveiligingscertificaten van onder meer DigiD leverde gehackt was. De DigiD webapplicatie kent vele kwetsbaarheden en bedreigingen. Daarom heeft de voormalig minister Spies van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) in 2012 de maatregel afgekondigd dat alle organisaties die gebruik maken van de DigiD hun ICT beveiliging moeten laten toetsen middels een ICTbeveiligingsassessment. Dit assessment is gebaseerd op 28 beveiligingsmaatregelen uit het document ICT-beveiligingsrichtlijnen voor webapplicaties van het National Cyber Security Center. Ook is beschreven dat de beveiligingsrichtlijnen door hun opzet breed toepasbaar zijn. Dit is als richtlijn fijn om voor een breed spectrum aan dienstverlening toe te kunnen passen, maar als toepassing voor de norm van DigiD te generiek. De literatuur beschrijft hoe je deze brede richtlijnen over het algemeen zou moeten beoordelen, maar beschrijft niet voldoende hoe de norm voor DigiD geïnterpreteerd moet worden. Daarom ligt de aandacht van dit afstudeeronderzoek bij het opstellen van een eenduidigere en consistente DigiD ICTbeveiligingsassessment. De probleemstelling van de afstudeerscriptie luidt daarom Wat zijn onderliggende maatregelen van het normenkader en welke wegingsfactoren worden toegekend aan de onderliggende maatregelen op beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van de beveiligingsrichtlijnen van het DigiD ICT-beveiligingsassessment te komen? Om de consistentie van de oordeelsvorming van de DigiD normenkader verder te verbeteren heb ik het door Logius en het NCSC gedefinieerde normenkader gespecificeerd. Het document ICTbeveiligingsrichtlijnen voor webapplicaties van het National Cyber Security Center is gebruikt voor de selectie van de onderliggende maatregelen. Middels deze exercitie ben ik tot de conclusie gekomen dat er niet voldoende risico identificatie en specificatie ten grondslag heeft gelegen bij het opstellen van het DigiD normenkader. Dit heeft ertoe geleid dat inconsistentie kan optreden in de oordeelsvorming van de DigiD norm. Aan de hand van de literatuurstudie en een dialoog met een DigiD expert heb ik zelfstandig onderliggende maatregelen gesplitst in must have en should have maatregelen. Daarnaast heb ik de must have maatregelen een weging gegeven om een totaaloordeel te kunnen vellen per richtlijn. Dit normenkader en de wegingen zijn vervolgens voorgelegd aan experts die veelvuldig met informatiebeveiliging te maken hebben. Waar nodig zijn vervolgens aanpassingen gemaakt. Het resultaat van dit onderzoek is een gespecificeerd normenkader voor DigiD ICTbeveiligingsassessment, waarmee een IT-auditor een consistent oordeel kan vellen. Daarnaast zijn voor de must have maatregelen wegingsfactoren opgesteld die als hulpmiddel ingezet kan worden om overzichtelijker een totaaloordeel per norm te vellen. IV
INHOUD 1 DIGID ICT-BEVEILIGINGSASSESSMENT VERHOOGT DE KWALITEIT VAN ICT-BEVEILIGING... 1 1.1 INTRODUCTIE... 1 1.2 ACHTERGROND... 1 1.3 PROBLEEMSTELLING... 2 1.4 ONDERZOEKSDOELSTELLING... 2 1.4.1 Hoofdvraag... 3 1.4.2 Deelvragen... 3 1.5 SCOPE... 4 1.6 BEPERKINGEN... 4 1.7 ONDERZOEKSMETHODOLOGIE... 4 1.7.1 Onderzoeks methode... 5 1.7.2 Onderzoeksplan... 5 1.8 RELEVANTIE VAN HET ONDERZOEK... 7 1.9 RAPPORTSTRUCTUUR... 7 2 LITERATUURSTUDIE... 8 2.1 DIGID... 8 2.1.1 Webapplicatie... 9 2.1.2 Gebruik van DigiD... 9 2.2 KWETSBAARHEDEN EN BEDREIGINGEN... 11 2.3 DIGID BEVEILIGINGSRISICO S... 12 2.4 DIGID ICT-BEVEILIGINGSASSESSMENT... 16 2.4.1 Norm ICT-beveiligingsassessments DigiD... 16 2.4.1.1 Onderliggende maatregelen... 17 2.5 HANDREIKING NOREA... 18 2.6 CONCLUSIE LITERATUURSTUDIE... 19 3 SPECIFICERING VAN HET NORMENKADER EN TOEKENNEN VAN WEGINGSFACTOREN... 20 3.1 SPLITSING... 20 3.1.1 Methodiek... 20 3.1.2 Uitvoering... 21 3.2 WEGINGSFACTOREN... 23 3.2.1 Methodiek... 24 3.2.2 Toekenning... 24 4 BEVINDINGEN VAN HET PRAKTIJKONDERZOEK... 27 4.1 INTERVIEW 1:... 27 4.1.1 Bevindingen... 27 4.2 INTERVIEW 2... 28 4.2.1 Bevindingen... 28 5 CONCLUSIE... 30 5.1 BEANTWOORDING DEELVRAGEN... 30 5.2 BEPERKINGEN EN VERVOLGONDERZOEK... 32 5.3 REFLECTIE... 33 6 LITERATUURLIJST... 34 Bijlage A. Norm ICT-beveiligingsassessments DigiD... 35 Bijlage B. Maatregelen van de DigiD normen... 37 Bijlage C. Norea Handreiking voor DigiD assessments... 43 Bijlage D. Initiële splitsing mede op basis van interview... 48 V
Bijlage E. Initiële wegingsfactoren... 58 Bijlage F. Finale Normenkader... 58 Bijlage G. Rekenmodel... 58 FIGURENLIJST FIGUUR 1: ONDERZOEKSMODEL... 4 FIGUUR 2 ONDERZOEKSMETHODE STAPPEN VOLGENS YIN... 5 FIGUUR 3: RAAMWERK MET BEVEILIGINGSLAGEN VOOR WEBAPPLICATIES... 13 TABELLENLIJST TABEL 1: DIGID STATISTIEKEN VANUIT LOGIUS (LOGIUS, JAARREKENING, 2014)... 8 TABEL 2: RISICO S PER BEVEILIGINGSRICHTLIJN... 15 TABEL 3: ONDERLIGGENDE MAATREGELEN VAN EEN DIGID BEVEILIGINGSRICHTLIJN... 17 TABEL 4: BEVEILIGINGSRICHTLIJN B-06 SPLITISING MH EN SH MAATREGELEN... 21 TABEL 5: BEVEILIGINGSRICHTLIJN B-07 SPLITISING MH EN SH MAATREGELEN... 22 TABEL 6: BEVEILIGINGSRICHTLIJN B-08 SPLITISING MH EN SH MAATREGELEN... 23 TABEL 7: WEGINGEN VOOR DE ONDERLIGGENDE MAATREGELEN... 24 TABEL 8: BEVEILIGINGSRICHTLIJN B-06 INCLUSIEF WEGING... 25 TABEL 9: BEVEILIGINGSRICHTLIJN B-07 INCLUSIEF WEGING... 26 GRAFIEKENLIJST GRAFIEK 1: PERCENTAGE GEMEENTEN DAT PRODUCTEN INTERACTIEF AANBIEDT MET GEBRUIK VAN DIGID (2011-2013)... 9 GRAFIEK 2: ONDERSTEUNDE AUTHENTICATIEMETHODEN PER PRODUCT... 10 GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU. PERCENTAGE GEEFT DE WAARSCHIJNLIJKHEID AAN DAT TENMINSTE ÉÉN KWETSBAARHEID VOORKOMT OP EEN WEBSITE.... 11 VI
1 DIGID ICT-BEVEILIGINGSASSESSMENT VERHOOGT DE KWALITEIT VAN ICT-BEVEILIGING 1.1 INTRODUCTIE In dit hoofdstuk wordt een introductie gegeven van de onderzoekstudie om de lezer een globaal beeld te geven van de strekking van deze scriptie. Eerst introduceer ik het onderzoeksonderwerp door een informatieve achtergrond te geven in paragraaf 1.2. In paragraaf 1.3 geef ik de probleemstelling. Vervolgens geef ik in paragraaf 1.4 de onderzoeksdoelstelling en de onderzoeksvragen. In paragraaf 1.5 en 1.6 geef ik de scope en de beperkingen van het onderzoek. In paragraaf 0 beschrijf ik de onderzoeksmethodologie en in 1.9 geef ik aan wat de bijdrage van dit onderzoek is. Als laatste geef ik in paragraaf 1.9 de structuur van dit rapport aan. 1.2 ACHTERGROND Cyber-security staat de laatste jaren veel in de belangstelling. Organisaties die veel verliezen lijden, inbraken op controlesystemen, aanvallen op kritische infrastructuur en vele andere onderwerpen bereikten de publiciteit de afgelopen periode. In 2011 heeft de technologiewebsite Webwereld de maand oktober uitgeroepen tot de maand van het privacy lek ook wel bekend als Lektober. Tijdens deze maand heeft de website aangetoond dat de ICT-beveiliging bij de overheid niet altijd in orde was. Andere voorvallen, die wat meer recentelijk zijn, zijn de Nederlandse banken en de DigiD-voorziening die te maken hebben gehad met cyberaanvallen. Hierdoor werd de digitale dienstverlening van deze organisaties stil gelegd. De ICT-beveiliging is in de eerste plaats een verantwoordelijkheid van de individuele (overheids-) organisaties zelf. Maar dat alléén is niet voldoende met de huidige elektronische dienstverlening die door verschillende partijen tot stand komt. Deze dienstverlening is vaak modulair en in ketens georganiseerd. De informatiebeveiliging in de keten als geheel moet op orde zijn. De zwakste schakels in die ketens bepalen namelijk de veiligheid van de keten als geheel. Voormalig minister Spies van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft op 29 oktober 2012 de maatregel afgekondigd dat alle organisaties (bijvoorbeeld alle 403 gemeenten) die gebruik maken van de DigiD (het digitale authenthicatiemiddel voor de overheid en dienstverleners met een publieke taak ) hun ICT beveiliging, voor zover deze DigiD raakt, laten toetsen middels een ICT-beveiligingsassessment 1. Deze jaarlijkse verplichtstelling zou de veiligheid van de koppelingen met de DigiD moeten borgen. Via een ICTbeveiligingsassessment moeten zij dit vervolgens door een Register EDP-auditor laten toetsen. De ICT-beveiligingsassessment moet de beveiligingsnorm toetsen. Deze norm is gebaseerd op de richtlijnen uit het document ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Deze bestaat uit 59 richtlijnen. De norm voor de ICTbeveiligingsassessment is vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, Rijksauditdienst en NCSC. De beveiligingsrichtlijnen van NCSC zijn breed toepasbaar voor ICT- oplossingen die gebruikmaken van webapplicaties. De 1 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2012/10/29/aanbiedingsbrief-bijrapport-ict-beveiligingsassessments-digid.html 1
norm, 28 richtlijnen, bestaat uit de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius 2 adviseert echter de hele set van richtlijnen van NCSC te adopteren. 1.3 PROBLEEMSTELLING De beveiligingsrichtlijnen zijn breed opgezet zodat deze breed toepasbaar zijn voor ICToplossingen. Voor de IT-auditors is het uitgangspunt dat per beveiligingsrichtlijn een oordeel wordt gevraagd. Nu leidt het breed opzetten van normen in de praktijk tot verschillende interpretaties van het normenkader. Dit resulteert vervolgens tot verschillende beoordelingen van de beveiligingsrichtlijnen door de IT auditors. Hierdoor wordt het voor Logius, de partij die verantwoordelijk is voor de interpretatie van de conclusies op grond van de assessments, moeilijker om een eenduidig en consistent totaaloordeel te geven. Daarnaast heeft Logius ervoor gekozen om geen inzicht in de criteria te geven die worden gehanteerd bij de interpretatie van de rapportages. Logius doet dit om gedragseffecten' te voorkomen. Ook beschrijft de ICT- Beveiligingsrichtlijnen voor webapplicaties dat de toepassing van de beveiligingsrichtlijnen kunnen worden verheven tot een normenkader. Afhankelijk van de aard en de specifieke kenmerken van de dienst zouden maatregelen kunnen worden weggelaten en/of worden opgenomen en kunnen wegingsfactoren van de individuele maatregelen worden aangepast in het normenkader. Een normenkader is voor DigiD op beveiligingsrichtlijnniveau opgesteld. Als ik dan een niveau lager kijk dan zie ik dat voor het normenkader van de DigiD geen eenduidige onderliggende specificering is opgesteld. 1.4 ONDERZOEKSDOELSTELLING Het normenkader van het DigiD ICT-beveiligingsassessments is momenteel niet specifiek genoeg om eenduidige en consistente beoordelingen per beveiligingsrichtlijn te krijgen van de verschillende IT auditors binnen de verschillende organisaties die actief zijn. Iedere organisatie die DigiD ICT-beveiligingsassessments uitvoert kan een andere interpretatie en wegingsfactoren van maatregelen van een beveiligingsrichtlijn hanteren. Onderliggende maatregelen zijn de maatregelen die een DigiD gebruikersorganisatie moet nemen om te voldoen aan één beveiligingsrichtlijn. Hierdoor bestaat de mogelijkheid dat er met verschillende maten wordt gemeten. Dit resulteert voor Logius in niet consistente oordelen van het assessment. Het doel van deze scriptie is om het normenkader van DigiD ICT-beveiligingsassessment verder te specificeren om inconsistente oordeelsvorming door middel van diversiteit in de interpretaties en wegingsfactoren te minimaliseren. In de volgende subparagrafen staan de onderzoeksvragen die ik met het onderzoek wil beantwoorden. 2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en zorgt voor overheidsbrede, samenhangende ICT-producten. Logius verzorgt het beheer van het authenticatiemiddel DigiD en de bijbehorende gebruikersondersteuning. 2
1.4.1 HOOFDVRAAG In de voorgaande paragraaf heb ik vastgesteld dat het onderzoeksproject het normenkader van DigiD ICT-beveiligingsassessment moet specificeren. Daarom is de hoofdonderzoeksvraag, die de focus zal leggen in het opbouwen van de theorie van deze scriptie, als volgt: Wat zijn onderliggende maatregelen van het normenkader en welke wegingsfactoren worden toegekend aan de onderliggende maatregelen op beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van de beveiligingsrichtlijnen van het DigiD ICTbeveiligingsassessment te komen? Hierbij gaat het om de interpretatie van het normenkader en de genomen maatregelen waarbij de weging als hulpmiddel zal dienen om overzichtelijk vast te stellen in hoe hoeverre de betreffende beveiligingsrichtlijn adequaat is ingevuld. 1.4.2 DEELVRAGEN Om de hoofdvraag te beantwoorden begin ik eerst met het beantwoorden van een aantal deelvragen. Daarom wordt de onderzoeksvraag onderverdeeld in een aantal deelvragen om het onderzoek beter te structureren. De deelvragen hebben een duidelijke logica en zijn gebaseerd op het onderzoeksmodel. Het onderzoek begint met het begrijpen van de onderzochte onderwerpen door het uitvoeren van een literatuuronderzoek om een betere grip te krijgen op de interpretatie van de beveiligingsrichtlijnen. Daarom zullen de eerste drie deelvragen als volgt zijn: 1. Welke onderliggende maatregelen zijn nodig om de beveiligingsrichtlijnen af te dekken? Met het resultaat van deze vraag ben ik in staat om de verschillende onderliggende maatregelen te definiëren per beveiligingsrichtlijn. De volgende stap in het onderzoek is om vast te stellen welke set maatregelen minimaal getroffen moeten worden voor het DigiD ICTbeveiligingsassessment. Dit leidt tot de volgende deelvraag: 2. Welke onderliggende maatregelen moeten minimaal getroffen worden (must haves) en welke onderliggende maatregelen zijn zeer gewenst (should haves)? Elke beveiligingsrichtlijn zal bestaan uit verschillende sets maatregelen. Om vervolgens aan te kunnen geven in hoeverre de betreffende beveiligingsrichtlijn adequaat is ingevuld is het van belang dat de maatregelen die minimaal getroffen moeten worden ( must haves ) een wegingsfactor mee krijgen om tot een consistente oordeelsvorming te komen. Dit leidt tot de volgende deelvraag: 3. Welke wegingsfactoren worden toegekend aan de onderliggende maatregelen van een beveiligingsrichtlijn die minimaal getroffen moeten worden (must haves) om middels een hulpmiddel tot een consistente oordeelsvorming te komen? 3
Een overzicht van het onderzoeksmodel is na het onderzoeken van de probleemstelling en hoofdvraag opgesteld en afgebeeld in Figuur 1. Huidige normenkader Richtlijn1: Richtlijn2: Richtlijn3: Richtlijn27: Richtlijn28: Specificeren Richtlijn1: Maatregel 1:.. Maatregel 2:.. Richtlijn2: Maatregel 1: Maatregel 2:.. Maatregel 3:.. Splitsen Must have: Richtlijn1: Maatregel 1:.. 2:.. Richtlijn2: Maatregel 1: 2: Maatregel 3:.. Should have: Richtlijn1.. Maatregel Richtlijn2: Maatregel Wegen Must have: Richtlijn1: Maatregel 1:.. (10) Richtlijn2: Maatregel 1: (2) Maatregel 3:.. (8) FIGUUR 1: ONDERZOEKSMODEL 1.5 SCOPE Het DigiD ICT-beveiligingsassessment is gebaseerd op de richtlijnen uit het document ICTbeveiligingsrichtlijnen voor webapplicaties van het NCSC. Dit onderzoek heeft zich uitsluitend gericht op het normenkader dat is vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties voor DigiD. Dit normenkader bestaat uit 28 beveiligingsrichtlijnen. De overige beveiligingsrichtlijnen zijn binnen dit onderzoek buiten beschouwing gelaten. 1.6 BEPERKINGEN Dit onderzoek heeft zich uitsluitend gericht op de interpretatie van het normenkader ten behoeve van het auditen van DigiD koppelingen. Voor de interpretatie van de beveiligingsrichtlijnen word uitsluitend gebruik gemaakt van de richtlijnen uit het document ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC en expert judgement van deskundigen die veel ervaring hebben in informatiebeveiliging. 1.7 ONDERZOEKSMETHODOLOGIE In deze paragraaf zal ik de onderzoeksmethodologie beschrijven. Eerst beschrijf ik de onderzoeksmethode en dan het onderzoeksplan. 4
1.7.1 ONDERZOEKS METHODE Volgens Yin (Yin, 2008) zijn er verschillende onderzoeksmethoden om wetenschappelijk onderzoek te doen, namelijk experimenten, enquêtes, literatuurstudie, interviews, en het verrichten van observaties of case studies. Een literatuurstudie en interviews zijn goede methoden voor dit onderzoek, omdat de literatuur voldoende de risico s van een web applicatie en de te nemen maatregelen om dit risico grotendeels te mitigeren beschrijft. De DigiD applicatie is ook een web applicatie. Daarnaast is het onderzoeksobject van deze scriptie de interpretatie van de DigiD ICT-beveiligingsnorm. Om een onderzoek rondom interpretatie uit te voeren zijn interviews met deskundigen de ideale methode. 1.7.2 ONDERZOEKSPLAN Het onderzoeksplan is een plan van hoe de informatie verzameld gaat worden om vervolgens de onderzoeksvraag te beantwoorden. Het onderzoek is kwalitatief van aard en in fases uitgevoerd en gebaseerd op de aanpak van case study methodologie van Yin. De aanpak is gebaseerd op basis van een literatuuronderzoek en doormiddel van interviews met praktijkbeoefenaars die met het onderwerp DigiD ICT-beveiligingsassessments veelvuldig in aanraking komen. Hieronder geef ik kort aan wat ik middels beide methoden wil verzamelen. 1. Literatuurstudie Over de interpretatie van DigiD ICT-beveiligingsnorm is weinig literatuur beschikbaar. De literatuur beschrijft wel in details hoe men de risico s van web applicaties kan mitigeren middels maatregelen. Aangezien de DigiD applicatie tevens een web applicatie is, zal het in de literatuuronderzoek gaan om de theoretische verdieping van de beveiligingsrichtlijnen en de onderliggende maatregelen. Van hieruit heb ik een eerste versie van de scriptie geschreven met daarin een initiële beantwoording van de onderzoeksvraag. 2. Interviews Bij de interviews gaat het om inzicht krijgen in hoe de verschillende betrokkenen vanuit hun rol omgaan met het fenomeen DigiD ICT-beveiligingsrichtlijnen, of er aanvullingen zijn op de maatregelen, hoe de scheiding in must have en should have maatregelen volgens hen is en de meegegeven wegingsfactoren. Hiervoor zal ik een semigestructureerd interview houden. Hieronder is de opbouw concreter uitgewerkt in fases die door Yin zijn opgesteld: FIGUUR 2 ONDERZOEKSMETHODE STAPPEN VOLGENS YIN 5
Plan Deze fase bevat de formulering en verdieping van het onderzoeksgebied, probleemstelling, onderzoeksvragen, onderzoeksaanpak. Design Deze fase bevat het verzamelen, bestuderen en beschrijven van literatuur op het gebied van DigiD (theoretische verdieping), hierbij zal de literatuurstudie een invulling geven aan de te hanteren definitie voor DigiD, de risico s van de DigiD koppeling en de onderliggende maatregelen van het DigiD normenkader die centraal staan in dit onderzoek. Dit resulteert vervolgens in een ontwerp van een gespecificeerd normenkader en een rekenmodel met wegingen als hulpmiddel om consistente oordelen te vellen. Voorafgaand de splitsing zal ik in een interview met een DigiD deskundige de opzet van de splitsingen en wegingen bespreken. Hierna ga ik aan de hand van expert judgement vaststellen welke onderliggende maatregelen minimaal getroffen moeten worden en welke onderliggende maatregelen zeer gewenst zijn. Ook ga ik door middel van expert judgement vaststellen welke wegingsfactoren toegekend moeten worden aan de maatregelen die minimaal getroffen moeten worden om een gedegen en consistente oordeelsvorming te verkrijgen. Hierna ga ik deze onder experts in het veld toetsen met behulp van semigestructureerde interviews. Prepare Deze fase bestaat uit het voorbereiden van de semigestructureerde interviews. Een semigestructureerd interview is als men geen vaste vragenlijst wil gebruiken. In plaats daarvan gebruikt men diverse onderwerpen voor het interview. Hierbij is het belangrijk dat de onderzoeker vaardig is in het stellen van goede open vragen over de onderwerpen, goed luistert, de antwoorden goed interpreteert, zichzelf goed kan aanpassen en flexibel is. Collect Deze fase bestaat uit het voeren van de interviews met de praktijkbeoefenaars middels semigestructureerde interviews. De volgende onderwerpen zullen als uitgangspunt voor de discussies dienen: De gemaakte splitsing in must have en should have maatregelen voor de DigiD ICTbeveiligingsassessment; Aanvullingen op de onderliggende maatregelen per beveiligingsrichtlijn; Zwaarste / belangrijkste onderliggende maatregelen van de must have maatregelen die ook de hoogste wegingsfactor toegekend moeten krijgen. Om goed naar de geïnterviewde persoon te luisteren en te kunnen doorvragen zal ik gebruik maken van een notitieblok om de belangrijkste aantekeningen alvast op papier te zetten maar ook het gesprek - in overeenstemming met de geïnterviewde persoon opnemen om achteraf nog terug te beluisteren ter verificatie. Analyze Deze fase bevat het analyseren van de verkregen input uit de interviews. Deze analyse gebeurt per richtlijn op het niveau van de gemaakte splitsing en de gemaakte weging. Afhankelijk van de verkregen response zullen aanpassingen gemaakt worden. Share De Share fase gaat over het afstemmen van de vastlegging van de gevoerde interviews met de experts en het verspreiden van de scriptie aan diverse geïnteresseerden. 6
1.8 RELEVANTIE VAN HET ONDERZOEK Theoretische relevantie De theoretische doelstelling van deze scriptie is om een significante bijdrage te leveren aan de literatuur van het normenkader van DigiD ICT-beveiligingsassessments in termen van interpretatie van de beveiligingsrichtlijnen, en daartoe behorende wegingsfactoren als hulpmiddel om consistente beoordelingen uit te voeren. Organisaties die het assessment uitvoeren gebruiken het normenkader dat is afgegeven door Logius welke gebaseerd is op brede richtlijnen van het NCSC. Het breed opzetten van beveiligingsrichtlijnen leidt in de praktijk tot verschillende interpretaties van het normenkader met verschillende beoordelingen per beveiligingsrichtlijn. Dit leidt vervolgens tot implicaties voor Logius, de partij die verantwoordelijk is voor de interpretatie van de conclusies op grond van de assessments die consistent zijn. IT auditors relevantie IT auditors voelen de noodzaak om naar een eenduidige en consistente interpretatie van het normenkader te gaan. IT auditors willen vaststellen wat de minimale getroffen maatregelen moeten zijn om te voldoen aan een beveiligingsrichtlijn en het mitigeren van de risico s die DigiD koppelingen met zich meebrengen. Met de resultaten van deze studie kunnen IT auditors een betere dienstverlening bieden om organisaties die gebruik maken van DigiD koppelingen te ondersteunen bij het opzetten van maatregelen. Ook kunnen ze hiermee beter aansluiten bij de eisen van klant en derhalve assessments van een betere kwaliteit uitvoeren. 1.9 RAPPORTSTRUCTUUR Deze scriptie zal beginnen met hoofdstuk 1 waarin uitleg wordt gegeven over de achtergrond van het onderzoek, de probleemstelling, de hoofd- en deelvraag, onderzoeksmethodologie en de relevantie. Hoofdstuk 2 zal de literatuurstudie beschrijven, zoals achtergrondinformatie van DigiD, het normenkader en de risico s. Hoofdstuk 3 zal een beschrijving geven van de initiële onderverdeling in must have en should have maatregelen en de initiële wegingsfactoren. Hoofdstuk 4 beschrijft de analyse en in hoofdstuk 5 wordt de conclusie beschreven. Tot slot zijn de normenkaders en specificeringen in de bijlagen opgenomen. 7
2 LITERATUURSTUDIE In dit hoofdstuk wordt nader ingegaan op de achtergronden, de kwetsbaarheden en bedreigingen, de beveiligingsrisico s, de beveiligingsnorm en het toetsingsproces. 2.1 DIGID DigiD is het digitale authenticatiemiddel voor overheidsinstanties en organisaties die een overheidstaak uitvoeren. DigiD staat voor Digitale Identiteit en is een persoonlijke combinatie van een gebruikersnaam en een wachtwoord (Rijksoverheid, 2014). Door met een persoonlijke DigiD in te loggen kan een persoon zich digitaal legitimeren bij de organisatie waarbij men inlogt. Zo weten organisaties met wie ze te maken hebben. Na het inloggen, krijgt technisch gezien de organisatie waarmee contact gezocht wordt het Burgerservicenummer van de persoon die van de digitale diensten van de organisatie gebruik wil maken teruggekoppeld. Hiermee weet de ontvangende instantie met wie ze te maken heeft en over welke informatie zij reeds van de betrokken persoon beschikt of kan beschikken (bijv. informatie uit de Gemeentelijk Basis Administratie (GBA) of in de eigen opgeslagen administratie). Hierdoor kunnen inmiddels ruim 11 miljoen personen in Nederland, met behulp van 1 inlogcode digitaal zaken doen (117 miljoen keer) met 617 overheidsorganisaties (Logius, Jaarrekening, 2014). De voordelen van DigiD zijn als volgt op te sommen: minder administratieve lasten; meer efficiëntie; een betere dienstverlening. Een digitaal authenticatiemiddel voorziet de gebruikersorganisaties van DigiD in een aantal voordelen die veelvoorkomende problemen oplossen/lasten minimaliseren. Helaas leidt het gebruik van DigiD ook tot een aantal risico s die uiteindelijk door middel van maatregelen beheerst moeten worden. Logius is de organisatie in Nederland die verantwoordelijk is voor de digitale overheid. Zij beheren en verbeteren de overheidsbrede en samenhangende ICT-producten en diensten, waaronder de DigiD-koppeling en de bijbehorende gebruikersondersteuning. Hieronder geef ik kort de statistieken rondom het gebruik van de DigiD. DigiD statistieken Aantal in 2012 Aantal in 2013 Actieve DigiD s (persoonlijke accounts) 9.800.000 11.011.509 DigiD aansluitingen bij de organisaties 972 1.068 Organisaties die gebruik maken van DigiD 590 617 Aantal DigiD authenticaties 75.500.00 117.032.632 TABEL 1: DIGID STATISTIEKEN VANUIT LOGIUS (LOGIUS, JAARREKENING, 2014) Doordat het gebruik van DigiD nog groeit en de vele cyberaanvallen is het belangrijk dat de ICTbeveiliging in orde is bij de houder van een DigiD koppeling. 8
2.1.1 WEBAPPLICATIE De DigiD applicatie wordt gekenmerkt als een webapplicatie. Een webapplicatie of web app is gedefinieerd als applicatie software die bereikbaar is via een webbrowser of via een andere cliënt die ondersteuning biedt voor het Hypertext Transfer Protocol (http) (Nations, 2014). Een dergelijk cliënt wordt http user agent genoemd. De applicatie software is gemaakt in een browser en ondersteunt programmeertaal (zoals de combinatie van Javascript, HTML en CSS) en baseert zich op een gemeenschappelijke web browser om de applicatie weer te geven. De kern van deze definitie is dat een webapplicatie altijd bereikbaar is op basis van HTTP of de versleutelde vorm hiervan: HTTPS (HTPP Secure). De functionaliteit die een webapplicatie biedt is onbeperkt, alleen de techniek is altijd gebaseerd op de HTPP-protocolstandaard (zoals gedefinieerd in Requests for Comments (RFC) 1945, 2068, 2616, 2617 en 2965). 2.1.2 GEBRUIK VAN DIGID Om de digitale dienstverlening aan burgers en ondernemers te verbeteren heeft de overheid in 2011 een implementatieagenda tot 2015 opgesteld (i-nup). De visie van de overheid is: Bedrijven en burgers kunnen uiterlijk in 2017 zaken die ze met de overheid doen, zoals het aanvragen van een vergunning, digitaal afhandelen. (Plasterk, 2013). Uit een benchmark onderzoek van een Big4 naar de digitale dienstverlening in 2013 onder gemeenten blijkt er een beperkte stijging in het gebruik van DigiD (zie Grafiek 1). Maar zien we wel dat veel producten al bij veel gemeenten digitaal aangeboden worden. GRAFIEK 1: PERCENTAGE GEMEENTEN DAT PRODUCTEN INTERACTIEF AANBIEDT MET GEBRUIK VAN DIGID (2011-2013) Hiernaast blijkt ook uit het onderzoek dat er nog steeds producten volledig digitaal aangeboden worden waarbij de gebruikers zich niet hoeven te authentiseren met DigiD. Diverse gemeenten gebruiken een alternatieve methode, zoals het inloggen met BSN of een eigen authenticatiemethode. De vraag is in hoeverre de exclusiviteit van de gegevens en de privacy van de burgers is gewaarborgd en waarom DigiD niet gebruikt wordt bij de aangeboden digitale producten. In de komende jaren zal dit moeten stijgen naar 100%. 9
In de benchmark digitale dienstverlening 2013 heeft de onderzoeker voor alle volledig digitaal af te nemen producten de ondersteunde authenticatiemechanisme(n) onderzocht. Hierin onderkennen zij de volgende methoden: DigiD is verplicht; DigiD wordt ondersteund maar is niet verplicht; Geen of ander authenticatiemechanisme. In het rapport wordt geconstateerd dat het voor de burger, bij het merendeel (60,1%) van de interactief af te nemen producten, verplicht is om zich te authentiseren met DigiD (zie Grafiek 2). Voor de producten waar de onderzoeker DigiD authenticatie als vereist ziet, constateren zij dat 85% DigiD wordt verplicht. GRAFIEK 2: ONDERSTEUNDE AUTHENTICATIEMETHODEN PER PRODUCT Naast gemeenten, wordt DigiD als authenticatiemiddel ook gebruikt door andere overheidsinstellingen en bedrijven. Hieronder belicht ik in het kort een aantal voorbeelden uit de praktijk: Donorregister (https://www.donorregister.nl): een persoon kan zich digitaal legitimeren bij het donorregister om een keuze te maken of zijn organen en weefsels na het overlijden wel of niet beschikbaar voor transplantatie wil stellen. CWI (https://digid.werk.nl): een persoon kan zich digitaal legitimeren om zich bij het Centrum voor Werk en Inkomen in te schrijven en hulp te krijgen om aan werk en inkomen te komen. Belastingdienst (https://mijn.toeslagen.nl): een persoon kan zich digitaal legitimeren bij de belastingdienst om een belastingaangifte digitaal te ondertekenen of om toeslagen online aan te vragen of te wijzigen. 10
Kadaster (https://mijn.overheid.nl): een persoon kan zich digitaal legitimeren om in te zien wat de perceel- en eigendomsgegevens zijn van een eigen perceel. CBR (https://mijn.cbr.nl): een persoon kan zich digitaal legitimeren bij het CBR om theorieexamens te reserveren, rijscholen te machtigen om een praktijkexamen aan te vragen, beroepsexamen reserveren/wijzigen, eigen verklaringen in te vullen en resultaten te bekijken. Studielink (https://app.studielink.nl): een persoon kan zich digitaal legitimeren bij studielink om zich in te schrijven voor een opleiding op een school en eventueel studiefinanciering aan te vragen. 2.2 KWETSBAARHEDEN EN BEDREIGINGEN De DigiD webapplicatie kent vele kwetsbaarheden en bedreigingen. Deze kwetsbaarheden en bedreigingen zijn van verschillende niveaus; denk aan kwetsbaarheden en bedreigingen op authenticatieniveau (bijvoorbeeld het omzeilen van authenticatiemechanismen), op netwerkniveau (bijvoorbeeld Denial of Services (DOS)) of op applicatieniveau (bijvoorbeeld Cross-Site Scripting (XSS)). In Grafiek 3 worden de resultaten van een onderzoek van Whitehat Security naar veelvoorkomende lekken (top 15) in webapplicaties getoond (Whitehat, 2013). 60% 50% 54% 52% 40% 30% 32% 26% 25% 22% 21% 20% 10% 0% 14% 13% 11% 11% 9% 8% 7% 4% GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU. PERCENTAGE GEEFT DE WAARSCHIJNLIJKHEID AAN DAT TENMINSTE ÉÉN KWETSBAARHEID VOORKOMT OP EEN WEBSITE. Hiermee kan ik vaststellen dat het lekken van informatie (54%) en Cross-Site Scripting (52%) de meest voorkomende kwetsbaarheden zijn op webapplicaties. Het lekken van informatie 11
(information leakage 3 ) is over het algemeen een kwetsbaarheid waarbij een website gevoelige gegevens openbaart, zoals de technische details van de webapplicatie, de omgeving of gebruikersspecifieke gegevens. Gevoelige gegevens kunnen worden gebruikt door een aanvaller om de applicatie, de hosting-netwerk, of gebruikers uit te buiten. Bekende voorbeelden zijn het vergeten van HTML/Script commentaar met gevoelige informatie te verwijderen (database wachtwoorden) of onjuiste applicatie/server configuraties. De op twee na veelvoorkomende kwetsbaarheid, Cross-Site Scripting 4, is een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terecht komt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (Javascript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessies van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. Al deze kwetsbaarheden leiden tot risico s voor de webapplicatie van DigiD. 2.3 DIGID BEVEILIGINGSRISICO S Digitale informatie-uitwisseling is van cruciaal belang voor het functioneren van de Nederlandse maatschappij. Er zijn weinig digitale processen te bedenken die kunnen worden uitgevoerd zonder enige uitwisseling van informatie. Besturing van processen gaat immers altijd op basis van (management)informatie (Hintzbergen, Smulders, & Baars, 2008). De beschikbaarheid, integriteit en vertrouwelijkheid ervan kunnen van essentieel belang zijn voor het behoud van de concurrentiepositie, winstgevendheid, cashflow, naleving van de wet en het imago van de organisatie. Deze digitale services staan daarom vaak in de belangstelling van mensen die kwaad willen en die met verschillende bedoelingen een bedreiging kunnen vormen voor de aangeboden service. Daarom worden steeds meer organisaties met hun informatiesystemen geconfronteerd met beveiligingsrisico s. Denk aan risico s zoals spionage, computerfraude, vandalisme en sabotage. Virussen, hacking en het verhinderen van dienstverlening komen steeds vaker voor en worden steeds groter en steeds innovatiever. De definitie van risico wordt als volgt geformuleerd: Risico is het product van de kans op optreden van een dreiging en de mogelijke schade als gevolg van deze dreiging (risico = kans x schade) (Janssen, 2007).Een beveiligingsrisico is dan het product van de kans op optreden van een beveiligingsdreiging en de mogelijke schade als gevolge van deze beveiligingsdreiging. De belangrijkste gevolgen van de beveiligingsrisico s die ik zou kunnen noemen zijn 1) dat DigiD misbruikt kan worden om fraude te plegen met bijvoorbeeld toeslagen of 2) dat de privacy niet gewaarborgd kan worden. Fraudeurs kunnen bijvoorbeeld zorg- en huurtoeslagen aanvragen op bankrekeningnummers waar ze toegang toe hebben. Recent zijn er twee websites offline gehaald omdat zij er op uit zouden zijn om inloggegevens voor DigiD te verzamelen om wellicht fraude mee te plegen (Moerman, 2014). Ook was er in het begin van het jaar in 2014 een geval waarbij de DigiD gegevens opnieuw zijn aangevraagd van een groep Groningse studenten en waarmee toeslagen zijn aangevraagd en uitgekeerd op rekeningnummers van de fraudeurs. In totaal zijn ongeveer vijfduizend DigiD-accounts buitgemaakt door fraudeurs. Slachtoffers van DigiD fraude zijn wel door de instanties schadeloos gesteld. Alle vijfduizend getroffen DigiD-accounts zijn 3 https://www.owasp.org/index.php/information_leakage 4 https://www.owasp.org/index.php/cross_site_scripting_flaw 12
inmiddels helemaal verwijderd. Het is namelijk belangrijk dat digitale communicatie betrouwbaar is en voortdurend zorg krijgt. Daarom kan ik stellen dat overheidsorganisaties die gebruikmaken van DigiD en hun ICT-beveiliging onvoldoende op orde hebben, een risico vormen. Gegevens kunnen worden onderschept en misbruikt. Dat kan afbreuk doen aan het vertrouwen dat gebruikers hebben in het systeem van DigiD. In paragraaf 2.1.2 zagen we dat organisaties in toenemende mate diensten (moeten of zullen) aanbieden via DigiD. Dit wordt aangeboden via websites en webservices. De informatie die de organisaties kunnen aanbieden en de mogelijkheden die de systemen bieden nemen ook steeds meer toe. Afhankelijkheid van een dergelijk informatiesysteem en bijbehorende diensten betekent dat organisaties steeds kwetsbaarder worden voor bedreigingen via de beveiliging. De verbinding tussen de openbare en private netwerken en het delen van gegevens, de ketenafhankelijke digitale dienstverlening, maakt het steeds moeilijker om de informatiebeveiliging voldoende op orde te houden. De beveiliging van de gehele keten moet daarom op orde zijn. De zwakste schakels in die ketens bepalen uiteindelijk de veiligheid van de gehele keten. Het NCSC beschrijft daarom ook dat het van belang is dat de aandacht bij de beveiliging van de webapplicatie niet alleen uitgaat naar de DigiD webapplicatie, doordat de DigiD webapplicatie onderdeel is van een keten van ICT-diensten (NCSC D. 1., 2012). Ook alle componenten om de webapplicatie heen, zoals fileservers, webservers, databaseservers, besturingssystemen, netwerken, etc., waarvan de webapplicatie afhankelijk is, hebben een belangrijke rol in het functioneren van de webapplicatie (NCSC D. 2., 2012). Bedreigingen in de integriteit van, en het vertrouwen in, de DigiD webapplicatie vereist daarom actie van diverse partijen (denk aan de softwareleverancier, de hosting-partij en de houder van de DigiD aansluiting) om te waarborgen dat de digitale communicatie betrouwbaar is. Door het treffen van beveiligingsmaatregelen op verschillende niveaus is het mogelijk om de gelopen risico s te verkleinen. Om inzicht te krijgen in de aard en de grootte van risico s, alsmede in de kosten en de effectiviteit van beveiligingsmaatregelen kunnen organisaties gebruik maken van een risico analyse (Overbeek, Lindgreen, & Spruit, 2005). Het NCSC heeft integraal een risico analyse met betrekking tot misbruik van webapplicaties uitgevoerd en beschrijft daarin alle lagen waar ontwikkelaars, beheerders en architecten bij het beveiligen van een webapplicatie aandacht aan moeten schenken. Om de risico s op een heldere manier in kaart te brengen, is het belangrijk de verschillende lagen te onderscheiden. Het NCSC baseert daarom de richtlijn voor webapplicaties op het Raamwerk Beveiliging webapplicaties (RBW) (GOVCERT.NL, 2010). In dit raamwerk beschrijft men de verschillende beveiligings-lagen (zie Figuur 3) die van toepassing kunnen zijn op webapplicaties. FIGUUR 3: RAAMWERK MET BEVEILIGINGSLAGEN VOOR WEBAPPLICATIES 13
Zoals in voorgaand raamwerk te zien is, onderkent men 7 aandachtsgebieden. Als ik specifiek naar de Norm ICT-beveiligingsassessments DigiD kijk (opgesteld door Logius, het NCSC en de Auditdienst Rijk) dan raakt men niet alle aandachtsgebieden die gedefinieerd zijn door het NCSC. De norm onderkent namelijk alleen maatregelen die gewaardeerd zijn met de classificatie hoog, oftewel de sterkste mate van gewenstheid. Het is onduidelijk waarom de Norea en Logius gekozen hebben voor de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius adviseert echter wel op hun website dat alle organisaties, buiten de richtlijnen uit de norm, ook de andere richtlijnen voor de webapplicatie adopteren. Hassing (Hassing, 2015) suggereert dat de partijen hiervoor hebben gekozen omdat de DigiD audit op deze manier heel praktisch is en snel uit te voeren is waarbij de kosten voor de instelling met DigiD-aansluiting beperkt blijven. De DigiD norm raakt de volgende lagen: 1. Algemene beveiligingsrichtlijnen: laag met generieke maatregelen die niet tot een specifieke laag behoren zoals in het RBW beschreven, maar hebben betrekking op het geheel van de ICT-infrastructuur of zijn generiek voor ICT-componenten die gebruikt worden voor de DigiD webapplicatie. 2. Netwerkbeveiliging: laag omtrent het beveiligen van de infrastructuur om de DigiD webapplicatie bereikbaar te maken en om de webserver resources op te kunnen laten vragen via firewalls, routers en switches. 3. Platformbeveiliging: laag omtrent het beveiligen van de besturingssystemen waarop DigiD webservers, databaseservers etc. draaien. 4. Applicatiebeveiliging: laag omtrent het beveiligen van de DigiD webapplicatie. 5. Vertrouwelijkheid en onweerlegbaarheid: laag met bescherming van data en het bewijzen dat bepaalde transacties daadwerkelijk hebben plaatsgevonden. 6. Monitoring, auditing en alerting: laag om inzicht te behouden in het functioneren van de webomgeving en aanvallen hierop. In Tabel 2 zijn de belangrijkste door Logius erkende risico s per beveiligingsrichtlijn opgenomen. Laag 0 - Algemene Risico beveiligingsrichtlijnen B0-5 - Er kunnen ongeautoriseerde acties worden doorgevoerd of acties zijn onvoldoende op elkaar afgestemd, waardoor de betrouwbaarheid van de IT-voorziening in het geding kan komen. B0-6 - Bedoeld of onbedoeld negatief beïnvloeden van de ICT-componenten/platform/netwerkverkeer, waardoor vertrouwelijkheid, integriteit en/of beschikbaarheid van de ICT-componenten niet gegarandeerd is. B0-7 - Technische en software kwetsbaarheden brengen stabiliteit en betrouwbaarheid van systemen in gevaar. B0-8 - Onbekendheid met bestaande kwetsbaarheden en zwakheden, waardoor hiertegen geen actie ondernomen wordt. B0-9 - Onvoldoende zicht op aanwezige kwetsbaarheden en zwakheden van ICT-componenten, onvoldoende zicht op de effectiviteit van reeds getroffen maatregelen en onvoldoende mogelijkheden om te kunnen anticiperen op de nieuwe dreigingen. B0-12 - Door het ontbreken van toegangsvoorzieningbeleid kan er onduidelijkheid ontstaan bij het toekennen van rechten aan gebruikers. Hierdoor kunnen niet-geautoriseerde gebruikers mogelijk toegang krijgen tot informatie waarop zij geen recht horen te hebben. - Onvoldoende beheersing van de toegang tot (een deel van) de functies in het ICT-landschap, waardoor misbruik en/of rechten-escalatie mogelijk is. - Gegevens worden ingezien, gewijzigd of verwijderd door individuen die hiervoor vanuit organisatie geen toestemming, recht of opdracht hebben. - Onvoldoende beheersing van de webapplicatie-omgeving, waardoor gebruikers het vertrouwen in de dienstverlening verliezen en mogelijkheden voor misbruik ontstaan. B0-13 - Oude websites kunnen enerzijds de dienstverlening aan de klanten negatief beïnvloeden en kunnen anderzijds misbruikt worden. B0-14 - Een (web)dienst waarvan de eigenschappen onduidelijk of onberekenbaar zijn, waardoor het 14
gewenste beveiligingsniveau niet gehaald wordt en/of gebruikers onvoldoende vertrouwen in de dienstverlening hebben. Laag 1 Netwerk - Risico beveiligingsrichtlijnen B1-1 - Een aanvaller krijgt ongelimiteerd toegang tot het interne netwerk en de daarop aangesloten systemen. B1-2 - Een aanvaller krijgt ongelimiteerd toegang tot het interne netwerk en de daarop aangesloten systemen. - Door het ontbreken van afdoende afscherming kunnen gewone gebruikers beheerdersautorisaties verwerven. B1-3 - Een aanvaller krijgt mogelijkheden om de toegangsbeveiliging voor externe gebruikers te omzeilen. Laag 2 Platform - Risico beveiliging B2-1 - Een aanvaller kan de controle over het platform of de webserver overnemen. Laag 3 Applicatie - Risico beveiligingsrichtlijnen B3-1 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. - De werking van de webserver of webapplicatie wordt gemanipuleerd, waardoor deze onder controle komt van een aanvaller. B3-2 - De werking van de webserver of webapplicatie wordt gemanipuleerd, waardoor deze onder controle komt van een aanvaller. B3-3 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. B3-4 - Via uitvoer van de webapplicatie de werking van of informatie op het systeem van anderen manipuleren. B3-5 - Via manipulatie (bijvoorbeeld commando- of SQL-injectie) kennis nemen van de inhoud van de onder- en achterliggende systemen of deze kunnen manipuleren. B3-6 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. B3-7 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de webapplicatielogica. B3-15 - Geen inzicht in de status van de operationele implementatie en beveiliging van ICT-componenten. B3-16 - Lekken van informatie die op zichzelf waarde heeft of die voor verdere aanvallen gebruikt kan worden. Laag 3 - Risico Vertrouwelijkheid en onweerlegbaarheid B5-1 - Het beheer van de cryptografische sleutels sluit niet aan bij het beschermingsbelang van de beschermde gegevens, waardoor het beheer van de cryptografische sleutels niet doelmatig is. B5-2 - Aansprakelijk gehouden worden voor onterechte mutaties of gegevensleveringen, terwijl een andere partij verantwoordelijk is. - Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn mogelijk in staat deze te verminken. B5-3 - Aansprakelijk gehouden worden voor onterechte mutaties of gegevensleveringen, terwijl een andere partij verantwoordelijk is. - Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn mogelijk in staat deze te verminken. B5-4 - Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn mogelijk in staat deze te verminken. Laag 3 Monitoring, - Risico auditing en alerting B7-1 - Via netwerkcomponenten of netwerkverkeer wordt vertrouwelijkheid, integriteit en/of beschikbaarheid aangetast, zonder dat dit (tijdig) gedetecteerd wordt en zonder dat hierop geacteerd kan worden. - Tekortkomingen en zwakheden in de geleverde producten/diensten kunnen niet gesignaleerd worden en herstel acties kunnen niet tijdig worden genomen. B7-8 - Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen. B7-9 - Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering. - Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen. TABEL 2: RISICO S PER BEVEILIGINGSRICHTLIJN 15
2.4 DIGID ICT-BEVEILIGINGSASSESSMENT Om de genoemde beveiligingsrisico s te mitigeren heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties de maatregel getroffen dat organisaties die gebruikmaken van DigiD hun ICT-beveiliging, voor zover deze DigiD raakt, jaarlijks dienen te toetsen op basis van een ICTbeveiligingsassessment. Elke organisatie is zelf verantwoordelijk voor het jaarlijks uitvoeren van een ICT-beveiligingsassessment DigiD. De organisatie dient zelf vroegtijdig in actie te komen om de juiste voorbereidende maatregelen te treffen ter voorbereiding op de uitvoering van het assessment. Om uniformiteit in de uitvoering van de DigiD ICT-beveiligingsassessments te waarborgen moet deze worden uitgevoerd door een Register EDP-auditor. Op 21 februari 2012 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, het NCSC en de Auditdienst Rijk de Norm ICT-beveiligingsassessments DigiD voor de inrichting en uitvoering van de DigiD ICT-beveiligingsassessments vastgesteld. Sinds 2013 geldt deze verplichting voor alle afnemers. Op 9 juli 2014 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties een kamerbrief gestuurd met de ontwikkelingen ten aanzien van DigiD. In het bijzonder over de voortgang van de uitvoering van de ICT-Beveiligingsassessments DigiD en de stappen die worden gezet om DigiD te versterken 5. Kort samengevat geeft de minister aan dat: Het veiligheidsbewustzijn van publieke dienstverleners flink is toegenomen; Van de bijna 500 organisaties die zijn aangesloten op DigiD heeft niet één organisatie een rapport waarbij er sprake was van een acuut beveiligingsrisico; In 5% van de gevallen was er, op basis van de auditresultaten, sprake van een hoog risico waarbij de organisaties dit zo snel mogelijk moesten oplossen; Logius heeft nog geen aanleiding om het normenkader te wijzigen; De uiterste inleverdatum voor het assessmentrapport is in het vervolg vóór 1 mei. Daarbij geldt tevens dat het assessmentrapport niet eerder dan 1 januari mag worden ingediend; Daarnaast is bepaald dat nieuwe afnemers van DigiD binnen 2 maanden na aansluiting op DigiD een assessment dienen uit te voeren. 2.4.1 NORM ICT-BEVEILIGINGSASSESSMENTS DIGID De Norm ICT-beveiligingsassessments DigiD is gebaseerd op beveiligingsmaatregelen uit het document ICT-beveiligingsrichtlijnen voor webapplicaties van het National Cyber Security Center 6 (hierna NCSC). Het document bestaat uit twee delen. Het document ICTbeveiligingsrichtlijnen deel 1 bevat een beschrijving van de beveiligingsrichtlijnen op hoofdlijnen. In deel 2 worden de maatregelen verder uitgewerkt en gedetailleerd. Het document bestaat uit 59 beveiligingsrichtlijnen (zie Bijlage A) verdeeld over 7 deelgebieden die allemaal gewaardeerd zijn volgens een classificatie Hoog, Midden en Laag. De beveiligingsrichtlijnen zijn op de drie kenmerkingsaspecten van informatiebeveiliging gericht, namelijk beschikbaarheid, integriteit en vertrouwelijkheid. Hiernaast zijn de beveiligingsrichtlijnen zo opgesteld dat ze als norm gebruikt kunnen worden. 5 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2014/07/10/kamerbrief-overversterking-en-beveiliging-digid.html 6 Het NCSC draagt via samenwerking tussen bedrijfsleven, overheid en wetenschap bij aan het vergroten van de weerbaarbaarheid van de Nederlandse samenleving in het digitale domein. 16