Digid krijgt hackersbehandeling

Een snelle controle of overheidsinstellingen het authenticatiemiddel DigiD veilig genoeg gebruiken op hun sites blijkt niet haalbaar. Decentrale overheden als gemeenten krijgen langer de tijd om de informatiebeveiliging ook in de praktijk te laten testen.

Dat blijkt uit een brief die minister Spies van Binnenlandse Zaken – de opvolgster van Donner – eind vorige week naar de Tweede Kamer stuurde. Donner kondigde de strengere maatregelen al in oktober 2011 aan. De afgelopen maanden werd op websites van gemeenten die hun beveiliging niet op orde hadden Digid al uitgezet. Minister Spies heeft nu de nieuwe normering voor informatiebeveiliging van webapplicaties bekend gemaakt plus de manier waarop overheidsinstellingen de informatiebeveiliging van deze systemen voortaan jaarlijks moeten laten testen. Opvallend is dat er veel aandacht uitgaat naar de beveiligingspraktijk door het uitvoeren van penetratietesten. En ook een nieuwe strengheid. Overheidsinstellingen zijn in eerste instantie zelf verantwoordelijk en ze worden afgesloten van gedeelde internetvoorzieningen als DigiD als er een succesvolle hackpoging is geweest.

Actuele dreigingen
Het beheer van de nieuwe norm voor de beveiliging van webapplicaties is in handen gegeven van het Nationaal Cyber Security Centrum om ervoor te zorgen dat deze aangepast wordt op actuele dreigingen. De richtlijn bevat maatregelen rond de netwerkbeveiliging, beheer van het besturingssysteem, de basisbeveiliging met virusscanners en firewalls en applicatiebeveiliging. Een hacking test ofwel een penetratietest onder leiding van een bij Norea gecertificeerde auditor is een verplicht onderdeel om te controleren of de richtlijn goed nageleefd wordt door overheden. Jaarlijks moet de uitslag van een beveiligingsassessments bij Logius te worden opgeleverd. Deze normstelling is volgens minister Spies een krachtig instrument om de IT -beveiliging bij overheden te verbeteren. Daarnaast krijgt overheids IT-organisatie Logius de mogelijkheid om betrouwbare marktpartijen opdracht te geven de algehele IT-beveiliging van overheidsinstellingen onaangekondigd op de proef te stellen.

De invoering van deze vergaande maatregelen kost meer tijd dan de overheid had ingeschat. De uitloop komt enerzijds omdat de tijd is genomen om een duurzame richtlijn op te stellen. Anderzijds stelt de minister dat er op dit moment in de markt niet genoeg expertise en capaciteit voor handen is om alle assessments en penetratietesten te laten uitvoeren. Daarnaast wijzen instellingen die dichtbij de uitvoeringskant zitten zoals VNG en King, dat de benodigde aanpassingen ingrijpend zijn en dat de doorlooptijd van implementatie niet onderschat moet worden. Om die reden voert minister Spies de beveiligingsassessments gefaseerd in. Grootgebruikers van DigiD die in hun dienstverlening niet zonder Digid kunnen zoals de Belastingdienst, DUO en de UWV moeten hun beveiligingsexamen voor het eind van dit jaar halen. Decentrale overheden hoeven hun eerste brevet pas voor eind 2013 binnen te hebben. In september dit jaar komt minister Spies met nieuwe informatie over Digid en het verplichte overheidsassesment.