Assurance-rapport en Verantwoording 2012

Assurance-rapport en Verantwoording 2012 Producten van Logius Producten DigiD van Logius Haagse Ring (onderdeel van Diginetwerk) Datum 19 december 2013 Versie Definitief

Colofon Projectnaam Assurance-rapport en Verantwoording 2012 Versienummer 1.0 Organisatie Servicecentrum Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 servicecentrum@logius.nl Bijlage(n) Auteurs Lijst met afkortingen Beheersdoelstellingen Verantwoording: Logius Assurance-rapport: Auditdienst Rijk Pagina II

Woord vooraf Logius, dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, biedt publieke dienstverleners een samenhangende ICT-infrastructuur, zodat burgers en bedrijven eenvoudig, snel, groen en betrouwbaar elektronisch zaken met hen kunnen doen. Logius geeft haar klanten sinds 2008 door middel van een Assurancerapport en Verantwoording inzicht in de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de belangrijkste uitontwikkelde producten. Het Assurance-rapport en de Verantwoording die voor u liggen, hebben betrekking op de opzet, het bestaan en de werking van DigiD voor Burgers (hierna: DigiD) en Haagse Ring (onderdeel van Diginetwerk) in de periode 1 januari 2012 tot en met 31 december 2012 (hierna: onderzoeksperiode). Het Assurance-rapport en de Verantwoording worden later dan gebruikelijk gepubliceerd, omdat de voorbereidende werkzaamheden bij de leveranciers veel langer duurden dan gepland. In de Verantwoording is de conclusie van Logius weergegeven, mede gebaseerd op de uitkomsten van onderzoeken die in opdracht van Logius zijn uitgevoerd. De Verantwoording wordt geverifieerd en dit komt tot uiting in het Assurance-rapport, waarin Auditdienst Rijk (ADR) een oordeel geeft over de juistheid en volledigheid van de Verantwoording van Logius. De Verantwoording en het Assurance-rapport zijn onlosmakelijk met elkaar verbonden. Voor Logius is het Assurance-traject ook een drijfveer om de dienstverlening te blijven verbeteren. De resultaten van het Assuranceonderzoek over 2012 zijn uiterst serieus genomen en hebben geleid tot een intensief verbetertraject met onze leveranciers om de dienstverlening te borgen die van Logius mag worden verwacht. Dat verbetertraject is een continu proces. Met vriendelijke groet, Steven Luitjens Directeur Logius Pagina III

Definitief Assurance-rapport en Verantwoording 2012 19 december 2013 Assurance-rapport Auditdienst Rijk Geadresseerde Dit Assurance-rapport is bestemd voor de huidige en potentiële afnemers van Logius van de producten DigiD en Haagse Ring (onderdeel van Diginetwerk). Het rapport dient uitsluitend in samenhang met de Verantwoording over de periode 1 januari tot en met 31 december 2012 over deze producten te worden verstrekt en heeft als doelstelling aanvullende zekerheid te geven over de juistheid en volledigheid van deze Verantwoording. Opdracht Ingevolge de opdracht van Logius hebben wij de Verantwoording van Logius van 19 december 2013, waarin de in de periode 1 januari tot en met 31 december 2012 beoogde en geïmplementeerde maatregelen en procedures bij Logius en betrokken leveranciers zijn opgenomen ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD en het tactisch beheer van Haagse Ring (onderdeel van Diginetwerk) beoordeeld. Reikwijdte en gehanteerde normen In dit kader verstaan wij onder de voornoemde kwaliteitsaspecten: beschikbaarheid: de mate waarin een object conform afspraken beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; integriteit: de mate waarin de verwerking van de ingevoerde gegevens juist, volledig en tijdig verloopt en de programma s en bestanden ongeschonden blijven; exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen; controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is om vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. Bij deze opdracht zijn wij uitgegaan van de door Logius vastgestelde beheerdoelstellingen en normen (op te vragen bij Logius). Deze sluiten aan op algemeen aanvaarde uitgangspunten en op de contracten tussen Logius en haar leveranciers. Logius heeft zorg gedragen voor de afstemming van de beheerdoelstellingen en normen met een vertegenwoordiging van haar Programmaraad. Tevens zijn maatregelen ten aanzien van de normen van de ICT-beveiligingsassesments DigiD getoetst. De normen zijn voldoende concreet en volledig om uitgaande hiervan de inhoud van de Verantwoording te kunnen onderzoeken. Verantwoordelijkheden en werkzaamheden De Verantwoording is opgesteld onder verantwoordelijkheid van de directeur van Logius. Het is onze verantwoordelijkheid om door middel van een onderzoek op onafhankelijke wijze een oordeel over deze Verantwoording te geven. Daartoe hebben wij werkzaamheden uitgevoerd die in overeenstemming zijn met de Nederlandse richtlijnen voor Pagina IV

Definitief Assurance-rapport en Verantwoording 2012 19 december 2013 assurance-opdrachten en die gericht zijn op het signaleren van materiële afwijkingen en het verkrijgen van een redelijke mate van zekerheid. Onze belangrijkste werkzaamheden waren: het verkrijgen van inzicht in relevante kenmerken van Logius en haar leveranciers; het reviewen van de werkzaamheden, het dossier en de rapportage van de auditor van het consortium, bestaande uit twee externe leveranciers, dat verantwoordelijk is voor het beheer van de IT-infrastuctuur en de applicatie DigiD. De werkzaamheden van de auditor waren gericht op het beoordelen van de opzet en op het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures bij deze externe leveranciers; het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico s in de externe omgeving en de betrokken organisaties en het onderzoeken in hoeverre deze risico s worden afgedekt door maatregelen en procedures en het beoordelen van de plausibiliteit van de informatie in de Verantwoording; het beoordelen van de opzet en het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures; het onderzoeken van de juistheid en volledigheid van de informatie in de Verantwoording, mede gelet op de informatiebehoeften van de huidige en potentiële afnemers van de producten van Logius; het evalueren van het algehele beeld van de Verantwoording, inclusief het beoordelen van de consistentie van de informatie, aan de hand van de bovengenoemde normen. Oordeel Op grond van ons onderzoek zijn wij van oordeel dat de in de Verantwoording van Logius opgenomen informatie over de maatregelen en procedures ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD en Haagse Ring bij Logius en haar leveranciers betreffende het tijdvak 1 januari 2012 tot en met 31 december 2012 juist en volledig is. Toelichting op het oordeel De producten DigiD en Haagse Ring zijn bouwstenen voor de realisatie van betrouwbare digitale diensten. Organisaties dienen zich ervan bewust te zijn dat het toepassen van één of meerdere van deze bouwstenen alleen niet voldoende is om een betrouwbare digitale dienst te realiseren. Hiervoor dient de betreffende organisatie een analyse uit te voeren van de beveiligingseisen die samenhangen met het karakter van de eigen digitale dienstverlening. Vervolgens dient de organisatie vast te stellen dat de in de digitale dienstverlening gebruikte componenten gezamenlijk toereikend invulling geven aan de beveiligingseisen. Voor de producten DigiD en Haagse Ring kan hiervoor gebruik worden gemaakt van de informatie van Logius, waaronder de informatie die in deze Verantwoording is opgenomen. Pagina V

Definitief Assurance-rapport en Verantwoording 2012 19 december 2013 Ondanks dat ons oordeel zich positief uitspreekt over de juistheid en volledigheid van deze Verantwoording, wijzen wij de lezer erop dat gedurende de verantwoordingsperiode op een aantal onderdelen niet voldoende invulling is gegeven aan de afgesproken normen voor DigiD. Voor nadere informatie verwijzen wij voor DigiD naar paragraaf 3.4 van de Verantwoording. In de verantwoording wordt een aantal verbetermaatregelen vermeld voor 2013. Wij benadrukken dat wij de implementatie van deze verbetermaatregelen niet hebben onderzocht, daar onze werkzaamheden de periode 1 januari 2012 tot en met 31 december 2012 betroffen. De implementatie en effectiviteit van deze verbetermaatregelen zullen worden beoordeeld in het onderzoek over 2013. Den Haag, 19 december 2013 Auditdienst Rijk mr. drs. J. Roodnat RE RA Clustermanager ADR mw. drs. C.N. de Vette RE Audit Manager Pagina VI

Inhoud Colofon... II Woord vooraf... III Assurance-rapport Auditdienst Rijk... IV Inhoud... 1 1 Managementsamenvatting... 2 1.1 Algemeen... 2 1.2 DigiD... 2 1.3 Haagse Ring... 3 2 Inleiding... 4 2.1 Algemeen... 4 2.2 Normstelling... 4 2.3 Totstandkoming van de Verantwoording... 5 2.4 Leeswijzer... 5 3 Bevindingen DigiD... 6 3.1 Algemeen... 6 3.2 Tactisch beheer... 7 3.3 Operationeel beheer... 7 3.3.1 Applicatie- en infrastructuurbeheer... 7 3.3.2 Print- en maildienstverlening... 8 3.3.3 Callcenter... 8 3.3.4 Ondersteuning SMS-authenticatie... 9 3.4 Conclusie... 9 4 Bevindingen Haagse Ring... 10 4.1 Algemeen... 10 4.2 Rolverdeling en inrichting beheer... 10 4.3 Aansluitvoorwaarden en informatiebeveiliging Haagse Ring 11 4.4 RON2.0... 11 4.5 Conclusie... 11 Bijlage I Lijst met afkortingen... 12 Bijlage II Beheersdoelstellingen... 13 Pagina 1

1 Managementsamenvatting 1.1 Algemeen Logius is verantwoordelijk voor het beheer en de (door)ontwikkeling van de producten DigiD en Haagse Ring. Voor de klanten binnen de overheid en gelieerde organisaties is het betrouwbaar en veilig functioneren van deze producten van groot belang in hun keten van dienstverlening aan burgers en bedrijven. Met het publiceren van een jaarlijkse Verantwoording inclusief Assurance-rapport geeft Logius zekerheid aan haar klanten over de kwaliteit van haar producten DigiD en Haagse Ring. De Verantwoording van Logius is mede gebaseerd op de uitkomsten van onderzoeken die in opdracht van Logius zijn uitgevoerd. De in de Verantwoording beschreven situatie heeft betrekking op de periode 1 januari 2012 tot en met 31 december 2012. De onderzoeken zijn uitgevoerd aan de hand van normenkaders met als doel geïmplementeerde maatregelen en procedures ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD en Haagse Ring vast te stellen. Voor het opstellen van de normenkaders is gebruik gemaakt van wet- en regelgeving, contracten met leveranciers en algemeen aanvaarde standaarden. Met ingang van 2012 zijn in aanvulling op het standaard normenkader ook de normen voor ICT-beveiligingsassessments getoetst. 1.2 DigiD Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. Op 21 mei 2012 is een volledig nieuw gebouwde DigiD applicatie live gegaan, die gebruik maakt van een nieuwe infrastructuur. Het Assurance-rapport en de Verantwoording over 2011 waren gericht op de oude DigiD applicatie en infrastructuur. Het Assurance-rapport en de Verantwoording over 2012 gaat zowel over de oude DigiD applicatie en infrastructuur als de nieuwe DigiD applicatie en infrastructuur. De DigiD dienstverlening heeft in 2012 deels aan de gestelde beheersdoelstellingen voldaan. Het tactisch beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Het operationeel beheer, de print- en maildienstverlening, de callcenteractiviteiten, de smsauthenticatie en de dienstspecifieke beheersingsmaatregelen met betrekking tot de applicatie DigiD geven over het algemeen voldoende invulling aan de daaraan gestelde eisen. Echter voor applicatie- en infrastructuurbeheer zijn er belangrijke tekortkomingen op het gebied van Configuratiebeheer, Wijzigingenbeheer en Logisch Beveiligingsbeheer (bestaande uit Access Management, Infrastructure Management en Security Management). Ten aanzien van de dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD heeft de auditor vastgesteld dat niet wordt voldaan aan zeven normen voor ICTbeveiligingsassessments. Voor zes van de zeven afwijkingen worden maatregelen getroffen. Voor één afwijking wordt in overleg met expertgroepen gezocht naar een oplossing. De afhandeling van de verbeterpunten is door Logius nauwgezet gemonitord. De leverancier heeft aangegeven dat de aanpassingen van processen en objecten die nodig zijn om de Pagina 2

verbeterpunten te realiseren grotendeels hebben plaatsgevonden. De auditor zal tijdens het onderzoek over controlejaar 2013 toetsen of de aangegeven aanpassingen daadwerkelijk zijn geïmplementeerd en worden nageleefd, inclusief het voldoen aan het normenkader voor ICTbeveiligingsassessments. 1.3 Haagse Ring Logius is verantwoordelijk voor het tactisch beheer van Haagse Ring. De basis voor Haagse Ring is een mantelovereenkomst tussen alle 'aangesloten organisaties', Logius en de bedrijfsgroep Informatievoorziening en -technologie (IVENT) van het ministerie van Defensie. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. De beheersdoelstellingen voor het tactisch beheer van Haagse Ring zijn in voldoende mate gehaald. Gedurende de jaren dat Logius het tactisch aansluitbeheer van de Haagse Ring verzorgt, zijn pragmatische keuzes gemaakt ten aanzien van aansluitvoorwaarden en de rolverdeling tussen IVENT en Logius. Pagina 3

2 Inleiding 2.1 Algemeen Als onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is Logius de regieorganisatie die samen met klanten, partners en leveranciers bouwt aan de e-overheid. Dit doet Logius door te zorgen voor overheidsbrede, samenhangende ICTproducten. Logius werkt in opdracht van verschillende ministeries, die opdracht geven tot het in beheer nemen, beheren en doorontwikkelen van producten. Logius stimuleert organisaties met een publieke taak om de producten breed toe te passen. Zij laat zich adviseren door de Programmaraad, een adviesorgaan waarin klanten zijn vertegenwoordigd. Twee belangrijke, op zichzelf staande, producten die Logius aanbiedt zijn: 1. DigiD. DigiD is het digitale authenticatiesysteem voor de overheid en publieke dienstverleners. DigiD zorgt ervoor dat zij betrouwbaar zaken kunnen doen met burgers via hun website. 2. Haagse Ring. Haagse Ring is een netwerk voor datatransport tussen de aangesloten netwerken van de departementen, de Hoge Colleges van Staat en andere organisaties die op voordracht van departementen zijn aangesloten. Het beheerdomein van Logius beperkt zich tot de regie en uitvoering van onderdelen van het tactisch beheer voor Haagse Ring. Klanten van deze producten hebben behoefte aan zekerheid over de kwaliteit van de dienstverlening van Logius. Gehanteerde kwaliteitsaspecten zijn beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid. Logius geeft invulling aan deze klantbehoefte door deze Verantwoording op te stellen en te laten voorzien van een Assurance-rapport. In het Assurance-rapport is de conclusie van ADR opgenomen, waarin in dit geval met een redelijke mate van zekerheid -dit is tevens de hoogst mogelijke mate van zekerheid- een uitspraak wordt gedaan over de juistheid en volledigheid van de Verantwoording. De Verantwoording gaat in op de opzet en het bestaan per 31 december 2012 en op de werking van de beheersmaatregelen en -procedures van de twee genoemde producten gedurende het jaar 2012. 2.2 Normstelling Logius heeft een normenkader opgesteld met als doel een objectief beeld te kunnen geven van de kwaliteit van (het beheer van) de producten. Dit normenkader beschrijft op hoofdlijnen aan welke eisen (het beheer van) de producten moet voldoen en vormt de basis voor deze Verantwoording. Het normenkader is samengesteld op basis van de relevante wet- en regelgeving, met name het Tijdelijk besluit nummergebruik overheidtoegangsvoorziening, de Wet bescherming persoonsgegevens, het Voorschrift Informatiebeveiliging Rijksdienst (VIR 2007) en algemeen aanvaarde kaders voor IT-omgevingen zoals Business Information Services Library (BiSL) en Normen voor de beheersing van uitbestede ICT-beheerprocessen van de NOREA (de beroepsorganisatie voor ITauditors). Het normenkader is risicogebaseerd en richt zich voor een belangrijk deel op tactische en operationele beheerprocessen. Daarnaast zijn bijvoorbeeld voor de DigiD applicatie en voor de onderliggende ITinfrastructuur specifieke normen geformuleerd. Ook de normen voor ICT- Pagina 4

beveiligingsassessments, gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC), zijn getoetst. De directeur van Logius heeft het normenkader in 2008 vastgesteld na afstemming met een vertegenwoordiging van de Programmaraad. Logius heeft het Assurance-traject eind 2011, begin 2012 geëvalueerd met een aantal leden/vertegenwoordigers van de Programmaraad en op basis daarvan zijn de reikwijdte, scope en diepgang van het onderzoek gehandhaafd. Wel is afgesproken om, waar mogelijk en verantwoord, niet meer integraal, maar revolverend te toetsen, waardoor niet noodzakelijkerwijs alle controle-objecten bij een partij jaarlijks hoeven te worden getoetst. Ten slotte is de Verantwoording korter en bondiger opgesteld. In 2012 zijn de beheersdoelstellingen opnieuw voorgelegd aan een vertegenwoordiging van de Programmaraad. 2.3 Totstandkoming van de Verantwoording De auditor heeft op basis van de beheersdoelstellingen en daarvan afgeleide normenkaders onderzoeken uitgevoerd bij Logius en de leveranciers. De uitkomsten van deze onderzoeken zijn mede gebruikt als basis voor deze Verantwoording en het Assurance-rapport. De directeur van Logius is verantwoordelijk voor de inhoud van de Verantwoording. De Auditdienst Rijk is verantwoordelijk voor het Assurance-rapport. 2.4 Leeswijzer De lezer die globaal kennis wil nemen van de inhoud van het rapport kan zich beperken tot het Assurance-rapport, de managementsamenvatting van deze Verantwoording en de inleiding. In de hoofdstukken drie en verder wordt in meer detail ingegaan op het beheer en de doorontwikkeling van de producten. In bijlage I is een overzicht opgenomen van de meest gebruikte afkortingen en begrippen. In bijlage II is een overzicht opgenomen van de getoetste beheersdoelstellingen. Pagina 5

3 Bevindingen DigiD 3.1 Algemeen DigiD staat voor Digitale Identiteit. DigiD is het digitale authenticatiemiddel voor de overheid en dienstverleners met een publieke taak. Met DigiD kunnen deze partijen betrouwbaar zaken doen met burgers via hun website. Eind 2012 hadden ruim 9,8 miljoen burgers al een persoonlijke DigiD. Deze kunnen ze gebruiken voor steeds meer diensten bij ruim 500 organisaties. In 2012 zijn ruim 75 miljoen authenticaties gedaan. Op 21 mei 2012 is de DigiD applicatie live gegaan, een volledig nieuw gebouwde applicatie die gebruik maakt van een nieuwe infrastructuur. Burgers kunnen nu gebruik maken van meer functionaliteiten. Het Assurance-rapport van 2012 richt zich voor wat betreft DigiD op versie 2.17, die van 1 januari 2012 tot en met 20 mei 2012 in productie was en op de nieuwe DigiD applicatie, die sinds 21 mei 2012 in productie is. Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. Het operationeel beheer, dat bestaat uit infrastructuur- en applicatiebeheer, print- en mail-, callcenter- en sms-dienstverlening, is uitbesteed aan externe leveranciers. Logius heeft een regiefunctie en bewaakt de kwaliteit van de dienstverlening van externe leveranciers door middel van periodieke rapportages, overleggen en assurance onderzoeken. In onderstaande figuur is weergegeven welke onderdelen van de DigiD dienstverlening onderdeel zijn van de scope van het Assurance-rapport en de Verantwoording. Logius is niet verantwoordelijk voor de webdiensten en Gemeentelijke Basisadministratie Verstrekkingen (GBA-V). De leverancier van GBA-V heeft afspraken afgegeven over het niveau van de GBA-V-dienstverlening. Logius stelt eisen aan de webdiensten die aansluiten op DigiD. In oktober 2011 heeft de minister van BZK de Tweede Kamer geïnformeerd over de aanpak van de geconstateerde beveiligingslekken bij een aantal gemeentelijke websites. De feitelijke uitvoering van het beleid is door de minister opgedragen aan Logius. Pagina 6

3.2 Tactisch beheer Logius heeft een aantal tactische processen ingericht voor het beheer van haar producten. Doelstelling van deze processen is om de kwaliteit van de producten van Logius op een voldoende niveau en in overeenstemming met wet- en regelgeving te borgen. Het tactisch beheer heeft over 2012 over het algemeen in voldoende mate invulling gegeven aan de beheersdoelstellingen. De belangrijkste aandachtspunten zijn: het verbeteren en actualiseren van het interne informatiebeveiligingsplan (IB-plan) voor de kantoorautomatisering en de productspecifieke IB-plannen, waaronder het IB-plan voor DigiD (Security Management); het verbeteren van het toezicht op de dienstverlening van de kantoorautomatisering en de applicaties die gebruikt worden in ondersteunende processen voor DigiD (Security Management en Continuïteitsmanagement); het opstellen van een beheerplan voor middelen die ondersteunend dan wel randvoorwaardelijk zijn voor de processen van Logius (inrichting van een afgestemde informatievoorzieningsorganisatie). Door een goede informatievoorziening kunnen risico s binnen processen die ondersteunend zijn aan DigiD verkleind worden (Behoeftemanagement); het beschrijven en formaliseren van de toegangsrechten (Access Management). 3.3 Operationeel beheer 3.3.1 Applicatie- en infrastructuurbeheer Logius heeft het beheer van de applicatie en IT-infrastructuur van de nieuwe DigiD applicatie en infrastructuur uitbesteed aan externe leveranciers. De leveranciers hebben IT-beheerprocessen ingericht om de afgesproken dienstverlening te realiseren. Er is onderzoek gedaan naar zowel het algemeen beheer als naar (het beheer van) de IT-infrastructuur. Het applicatie- en infrastructuurbeheer is voor DigiD 2.17 beoordeeld tot en met 20 mei. Sinds 21 mei is sprake van een nieuwe DigiD applicatie en infrastructuur die in 2012 voor het eerst is onderworpen aan een audit. Voor de oude DigiD 2.17-omgeving geldt dat voor applicatie- en infrastructuurbeheer over het algemeen voldoende invulling is aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Een aantal belangrijke beheersdoelstellingen is echter niet gehaald. Voor applicatie- en infrastructuurbeheer waren er tekortkomingen op het gebied van Access Management, Security management en Infrastructure management. Ten aanzien van de dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD was sprake van tekortkomingen met betrekking tot de wijze van inloggen door de beheerders van Logius, applicatielogging en cryptografie. In verband met de voorziene overgang naar een nieuwe infrastructuur en applicatie per 21 mei zijn deze punten niet of beperkt opgepakt. Op basis van onderzoek naar de nieuwe DigiD4-omgeving is de conclusie dat de leveranciers gedeeltelijk invulling hebben gegeven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. Voor de processen Incident Management, Continuity Management, Availability Management, Capacity Management, het onderdeel fysiek beveiligingsbeheer van Security Management, Service Level Management en Applicatiebeheer is in voldoende mate invulling Pagina 7

gegeven aan de beheersdoelstellingen. Aan de beheersdoelstellingen voor Problem Management en Release Management is voldoende mate invulling gegeven, met opmerkingen. Aan de beheersdoelstellingen voor het logisch beveiligingsbeheer (Security Management, Infrastructure Management en Access Management), Configuration Management en Change Management is onvoldoende invulling gegeven. De belangrijkste geconstateerde tekortkomingen hebben betrekking op: gebruikersrechten; patch management; security baseline en security settings; wijzigingen op met name de infrastructuur; infrastructuurinstellingen. De tekortkomingen zijn uiterst serieus genomen en hebben geleid tot aanstelling van een taskforce om verbeterpunten op te pakken. De afhandeling van de verbeterpunten is door Logius nauwgezet gemonitord. De leverancier heeft aangegeven dat de aanpassingen van processen en objecten die nodig zijn om de verbeterpunten te realiseren grotendeels hebben plaatsgevonden. Aan de DigiD specifieke eisen is deels invulling gegeven. Op dit moment voldoet Logius voor een belangrijk deel aan het normenkader voor ICTbeveiligingsassessments. De auditor heeft een zevental tekortkomingen gerapporteerd. Voor zes van de zeven tekortkomingen zijn/worden momenteel, in samenwerking met de leverancier, maatregelen getroffen. Uit een voorlopig onderzoek is gebleken dat oplossen van de laatste tekortkoming zeer complex is. Over invulling hiervan is Logius in overleg met expertgroepen. De auditor zal tijdens het onderzoek over controlejaar 2013 toetsen of de aangegeven aanpassingen daadwerkelijk zijn geïmplementeerd en worden nageleefd, inclusief het voldoen aan het normenkader voor ICTbeveiligingsassessments. De beschikbaarheid van de DigiD-dienstverlening was over geheel 2012 gemiddeld 99,78%; dat is boven de met klanten afgesproken norm van 99,5%. De verstoringen die zijn opgetreden betroffen incidenten in mei rondom de livegang van de nieuwe DigiD applicatie en infrastructuur en een incident in december. De beschikbaarheid was na livegang in mei 98% en in december 99,4%. 3.3.2 Print- en maildienstverlening Logius heeft de print- en maildienstverlening uitbesteed aan een externe leverancier (verder: print- en mailleverancier). Hiertoe is een overeenkomst afgesloten tussen Logius en deze print- en mailleverancier. Er is een onderzoek uitgevoerd naar (de beheersing van) het print- en mailproces. De print- en mailleverancier heeft in voldoende mate invulling gegeven aan het primaire print- en mailproces en de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en beschikbaarheid. Een aandachtspunt is de aantoonbaarheid van de (controle)activiteiten die door de leverancier zijn uitgevoerd, met name voor Access Management. 3.3.3 Callcenter Logius heeft de callcenteractiviteiten voor de eerste lijn DigiD ondersteuning uitbesteed. Er is een onderzoek uitgevoerd naar de beheersing van het callcenterproces. De conclusie is dat het telefoonafhandelingsproces en de daaraan gerelateerde dienstverlening bij Pagina 8

de callcenterleverancier in voldoende mate invulling geven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. 3.3.4 Ondersteuning SMS-authenticatie Logius heeft de SMS-dienstverlening uitbesteed aan een externe leverancier. Voor de DigiD dienstverlening vindt voor het 'zekerheidsniveau midden' authenticatie plaats op basis van een combinatie van naam, wachtwoord en een per sms-bericht verzonden code. De conclusie is dat de sms- dienstverlening en de daaraan gerelateerde beheerprocessen in voldoende mate invulling hebben gegeven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. Ondanks verbeteringen in de vastleggingen van autorisaties ten opzichte van het controlejaar 2011 is Access management nog een punt van aandacht, met name met betrekking tot de aantoonbaarheid van uitgevoerde (controle)werkzaamheden. 3.4 Conclusie Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. De DigiD dienstverlening heeft in 2012 deels de gestelde beheersdoelstellingen gehaald. Het tactisch beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Het operationeel beheer printen maildienstverlening, callcenteractiviteiten, sms-authenticatie en dienstspecifieke beheersingsmaatregelen met betrekking tot de applicatie DigiD geeft over het algemeen voldoende mate invulling aan de daaraan gestelde eisen. Echter voor applicatie- en infrastructuurbeheer zijn er belangrijke tekortkomingen op het gebied van Configuratiebeheer, Wijzigingenbeheer en Logisch Beveiligingsbeheer (bestaande uit Access Management, Infrastructure Management en Security management). Ten aanzien van de dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD is sprake van zeven tekortkomingen met betrekking tot de norm voor ICT-beveiligingsassessments. De afhandeling van de verbeterpunten is door Logius nauwgezet gemonitord. De leverancier heeft aangegeven dat de aanpassingen van processen en objecten die nodig zijn om de verbeterpunten te realiseren grotendeels hebben plaatsgevonden. Op dit moment voldoet Logius voor een belangrijk deel aan het normenkader voor ICTbeveiligingsassessments. Over invulling van de laatste tekortkoming is Logius in overleg met expertgroepen. De auditor zal tijdens het onderzoek over controlejaar 2013 toetsen of de aangegeven aanpassingen daadwerkelijk zijn geïmplementeerd en worden nageleefd, inclusief het voldoen aan het normenkader voor ICT-beveiligingsassessments. Pagina 9

4 Bevindingen Haagse Ring 4.1 Algemeen Haagse Ring is een netwerk voor datatransport tussen de aangesloten netwerken van: de 'aangesloten organisaties' en de daaronder ressorterende baten-lastendiensten (waarbij is afgesproken dat de aangesloten organisaties zorgen voor de koppeling van deze diensten); de Hoge Colleges van Staat (voor zover zij dat wensen) en andere direct aan de rijksoverheid gelieerde organisaties. Binnen Haagse Ring wordt gebruik gemaakt van virtuele private netwerken (VPN's) waarmee naar wens verbindingen tussen aangesloten organisaties kunnen worden gerealiseerd. Logius is verantwoordelijk voor het tactisch beheer van Haagse Ring. Logius vervult namens de aangesloten organisaties de rol van opdrachtgever richting IVENT. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. IVENT behoort tot het ministerie van Defensie en onder rechtstreekse verantwoordelijkheid van de minister van Defensie. In onderstaande figuur is weergegeven welke onderdelen van de Haagse Ring vallen in de scope van het Assurance-rapport en de Verantwoording. 4.2 Rolverdeling en inrichting beheer De basis voor Haagse Ring is een mantelovereenkomst tussen ministeries, Logius en de bedrijfsgroep Informatievoorziening en -technologie (IVENT) van het Commando Diensten Centrum van het ministerie van Defensie. Logius is verantwoordelijk voor uitvoering van de strategische en tactische beheerprocessen. Logius is tevens verantwoordelijk voor het tactische aansluitproces op Haagse Ring. De juiste en volledige uitvoering van het aansluitproces en de generieke tactische processen vormt één van de randvoorwaarden voor de betrouwbare werking van Haagse Ring. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. Pagina 10

IVENT is verantwoordelijk voor het handhaven van het afgesproken beschikbaarheidsniveau en de afgesproken performance en capaciteit, het afhandelen van incidenten en doorvoeren van wijzigingen. Logius is verantwoordelijk voor bewaking van de dienstverlening. Logius bewaakt de dienstverlening van IVENT. IVENT levert conform de Service Level Agreement maandelijks Service Level Rapportages over de beschikbaarheid, responsetijd en professionaliteit/tijdigheid (zijnde de incidenten en wijzigingen). Logius bespreekt deze rapportages en toekomstige ontwikkelingen periodiek met IVENT. De rapportages worden ook geplaatst in een samenwerkingsruimte op Rijksweb, zodat de 'aangesloten organisaties' hiervan kennis kunnen nemen. De beschikbaarheid van Haagse Ring is over geheel 2012 100% geweest. 4.3 Aansluitvoorwaarden en informatiebeveiliging Haagse Ring Organisaties kunnen aansluiten op de Haagse Ring na goedkeuring van de beveiligingsambtenaar (BVA) van het departement dat de aanvraag ondersteunt. Logius ziet hier op toe. In een bijlage van de mantelovereenkomst Haagse Ring is aangegeven dat een organisatie die aansluit, moet voldoen aan de aansluitvoorwaarden Haagse Ring. De essentie van deze aansluitvoorwaarden is dat de organisatie die aansluit een adequaat niveau van beveiliging hanteert. 4.4 RON2.0 De contracten en afsprakenkaders inzake de Haagse Ring zijn enkele jaren oud, terwijl er in de afgelopen jaren veel is veranderd. Zo zijn er nieuwe bedreigingen voor de beveiliging. De Baseline Informatiebeveiliging Rijksdienst (BIR) is van kracht geworden, deze zal in 2013 door alle ministeries moeten worden geïmplementeerd. Daarnaast is per 1 januari 2013 de Rijks-BVA (Beveiligingsambtenaar) aangesteld, die samen met de CIO Rijk zal toezien op de naleving van afspraken en kaders. Tenslotte is in oktober 2012 de Visie op connectiviteit RON2.0 vastgesteld door de ICCIO. Deze visie betreft de verdere ontwikkeling van netwerkconnectiviteit als onderdeel van de Generieke ICT voorzieningen van de rijksdienst in het kader van de I-strategie. Met RON2.0 wordt binnen de rijksoverheid gestreefd naar een netwerk van netwerken (waaronder de Haagse Ring) waar de vigerende baseline BIR:2012 is. In 2013 zal het besturingsmodel van RON2.0 worden uitgewerkt en zullen daarin ook de taken, rollen en verantwoordelijkheden inzake Haagse Ring worden gespecificeerd. De ADR zal in de controle over 2013 aandacht schenken. 4.5 Conclusie De beheersdoelstellingen voor het tactisch beheer van Haagse Ring zijn in voldoende mate gehaald. Gedurende de jaren dat Logius het tactisch aansluitbeheer van de Haagse Ring verzorgt, zijn pragmatische keuzes gemaakt ten aanzien van aansluitvoorwaarden en de rolverdeling tussen IVENT en Logius. Pagina 11

Bijlage I Lijst met afkortingen ADR BIR BiSL BVA BZK CBIB DigiD GBA-V ICT IVENT NCSC SLA SMS VIR VIR-BI VPN s Auditdienst Rijk Baseline Informatiebeveiliging Rijksdienst Business Information Services Library Beveiligingsambtenaar Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Coördinerend Beraad Integrale Beveiliging Digitale Identiteit Gemeentelijke Basis Administratie Verstrekkingen Informatie- en communicatietechnologie De bedrijfsgroep Informatievoorziening en -technologie van het Commando Diensten Centrum van het ministerie van Defensie Nationaal Cyber Security Centrum Service Level Agreement Short Message Service Voorschrift Informatiebeveiliging Rijksdienst Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie Virtuele Private Netwerken Pagina 12

Bijlage II Beheersdoelstellingen Tactisch beheer Behoeftemanagement Bedrijfsprocessen van een organisatie worden ondersteund of ingevuld door een goede informatievoorziening en een functionele beheerorganisatie. Bestaande en nieuwe behoeften binnen het bedrijfsproces worden onderkend en hierover vindt besluitvorming plaats. Incident Management Incidenten dienen tijdig, volledig en effectief te zijn afgehandeld. Change Management De juiste besluiten, gebaseerd op de kenmerken van de wijzigingen, worden genomen over het aanbrengen van wijzigingen of vernieuwingen in de informatievoorziening; Wijzigingen in de informatievoorziening worden geïnventariseerd, geprioriteerd, ten uitvoer gebracht, gemonitord en geëvalueerd. Capacity Management De ICT-dienst dient de overeengekomen werklast te kunnen verwerken. Continuity Management De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Access Management Toegang tot ICT-diensten en -middelen dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers. Security Management: De samenhang tussen de individuele Security Management processen is geborgd. DigiD specifiek Het stelsel van application en user controls waarborgt het betrouwbaar functioneren van de authenticatiedienst DigiD in overeenstemming met wet- en regelgeving op het voorgeschreven niveau (WBP gegevensklasse II en Tijdelijk besluit nummergebruik overheidstoegangsvoorziening). Het stelsel van application en user controls bestaat uit het authenticatieprotocol inclusief de bijbehorende cryptografie en geautomatiseerde en handmatige procedures en (controle)maatregelen. Het protocol is logisch sluitend en maakt gebruik van algemeen aanvaarde (cryptografische) standaarden. Het voorziet in een veilige en betrouwbare authenticatie via Internet. De gegevens die binnen DigiD worden opgeslagen dienen door de getroffen maatregelen te worden beschermd. De authenticatievoorziening biedt de mogelijkheid belanghebbenden volledig en juist te informeren over de prestaties inclusief de werking van de controles. Pagina 13

Norm voor ICT-beveiligingsassessments: Nr. Beschrijving van beveiligingsrichtlijn B0-5 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-6 Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen. B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-8 Penetratietests worden periodiek uitgevoerd. B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst. B1-1 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. B3-3 De webapplicatie normaliseert invoerdata voor validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. B5-3 Sla gevoelige gegevens versleuteld of gehashed op.2 B5-4 Versleutel cookies. B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). B7-8 Voer actief controles uit op logging B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Pagina 14