Alleen een DigiD audit is onvoldoende voor beveiliging van webdiensten

Door drs. Joep Janssen RE MIM

De overheid digitaliseert in rap tempo. Burgers (en ondernemers) worden steeds meer verleid of zelfs verplicht om gebruik te maken van webportalen om zaken te doen met de overheid. Door deze ontwikkeling moeten overheidsorganisaties méér moeten doen om de veiligheid van hun digitale dienstverlening te kunnen garanderen.

Bij een flink aantal webdiensten vraagt de overheid om in te loggen met DigiD, zodat bekend is met wie de overheid van doen heeft. De overheid eist ook dat publieke dienstverleners, zoals ziekenhuizen en zorgverzekeraars, gebruik maken van DigiD.

Zorgen voor Veilige Digitale Diensten: Van DigiD Audits naar Uitgebreid Beheer en Continue Verbetering

De overheid moet ervoor zorgen dat elektronisch verkeer tussen de burger en de overheid voldoende veilig, dus betrouwbaar en vertrouwelijk verloopt.

Dat gebeurt door te bepalen op welk beveiligingsniveau de burger kan inloggen. Nu is dat vaak nog alleen met een eenvoudig DigiD wachtwoord, eventueel aangevuld met SMS of het via de DigiD-app scannen van een QR-code. Gestart is met het inloggen op een hogere beveiligingsniveau, zoals het gebruik van de chip in het rijbewijs of paspoort. Naast DigiD kunnen ook authenticatiemiddelen en vertrouwensdiensten uit de markt ingezet worden.

Tegelijkertijd moeten ook de websites en applicaties van overheidsorganisaties waarmee digitale diensten worden geleverd veilig zijn.

'The tone at the top'

Dat begint altijd met een goede besturing van de informatieveiligheid door de leiding van de organisatie (‘the tone at the top’) op basis van een actueel IT-beveiligingsplan en een transparante publieke verantwoording over het gevoerde beheer aan de belanghebbenden. Vanzelfsprekend voldoet de organisatie daarbij aan de algemeen geldende eisen voor beveiliging van de informatievoorziening (‘de basis op orde’), zoals toegangsbeheer, versleuteling, wijzigingenbeheer, incidentenbeheer, logging en afspraken met leveranciers.

Voor de specifieke webdienstverlening wordt dit aangevuld met de gangbare eisen voor beveiliging van webdiensten, zoals de webrichtlijnen van het Nationaal Cyber Security Centrum (NCSC).

De samenleving vraagt steeds meer om een onafhankelijk oordeel van een auditor over de beveiliging van de webdienstverlening. Websites blijken nog maar al te vaak kwetsbaar te zijn voor aanvallen van hackers. Dat heeft er in 2012 toe geleid dat jaarlijks DigiD audits worden uitgevoerd op overheidwebsites waarbij de burger kan inloggen met DigiD. Onmiskenbaar heeft dit bijgedragen aan het verbeteren van de beveiliging van de websites, maar het is slechts een eerste stap die dringend om opvolging vraagt.

Maatschappelijke verantwoordelijkheid van overheidsorganisaties

Op dit moment vraagt de minister van BZK voor webdienstverlening waarbij gebruik gemaakt wordt van DigiD alleen een auditrapport. Dit op basis van een beperkte selectie van twintig NCSC richtlijnen en bovendien slechts op opzet en bestaan van beveiligingsrichtlijnen. Of de maatregelen over een heel jaar gewerkt hebben blijft buiten beeld. Door het beperkt aantal richtlijnen en de beperking tot opzet en bestaan ontstaat het risico dat het auditrapport schijnzekerheid biedt.

De maatschappelijke verantwoordelijkheid van overheidsorganisaties en andere publieke dienstverleners om veilige digitale diensten te leveren gaat veel verder dan alleen te voldoen aan twintig NCSC richtlijnen. De burger heeft recht op veilige digitale dienstverlening, waarin zijn of haar gegevens op een betrouwbare en vertrouwelijke manier verwerkt worden.

De overheid heeft de afgelopen jaren meerdere initiatieven genomen om de informatiebeveiliging op een hoger plan te brengen. De implementatie van al deze initiatieven blijft een enorme opgave. Veel aandacht wordt besteed aan het technisch veilig maken van de systemen. Penetratietesten leggen de kwetsbaarheid van systemen voor aanvallen vanuit het internet bloot en securityspecialisten repareren de gaten.

Een meer proactieve en continue opstelling is nodig

Het gevaar dreigt dat informatiebeveiliging daarmee beperkt blijft tot reageren op incidenten en een ‘feestje van securityspecialisten’ blijft. Een meer proactieve en continue opstelling is nodig, gericht op het voorkomen van kwetsbaarheden en continu monitoren en verbeteren. De beste beveiligingsmaatregelen liggen immers in de organisatie en bij de mensen zelf (‘beveiliging is mensenwerk’).

Dit vraagt een veel grotere betrokkenheid van de leiding en bestuurders van organisaties. Concreet houdt dit in dat het onderwerp informatiebeveiliging regelmatig aan de bestuurstafel besproken moet worden, inclusief het monitoren van de voortgang. Overheidsorganisaties moeten daarnaast zorgen voor een professionele beveiligingsorganisatie, met een sterke Chief Information Security Officer en zorgen dat de basisprocessen en maatregelen rondom beveiliging en beheer op orde zijn en belegd bij de juiste verantwoordelijke. Informatiebeveiliging hoort op dezelfde wijze besproken te worden aan de bestuurstafel als de financiële huishouding.

De auditpraktijk moet hierop inspelen. De beoordeling van specifieke NCSC beveiligingsrichtlijnen voor websites blijft bestaan, maar wordt uitgebreid met de beoordeling van de besturing van de informatiebeveiliging door de leiding van de organisatie (‘the tone at the top’) en de inrichting van de basisprocessen voor informatiebeveiliging (‘de basis op orde’). Hierbij niet alleen de opzet en het bestaan van maatregelen beoordelen, maar ook de continue aandacht het gehele jaar door.


Drs. Joep GM Janssen RE MIM  is Lead IT Auditor bij VKA en voorzitter van de landelijke NOREA werkgroep DigiD assessments. Deze bijdrage is op persoonlijke titel geschreven.

Gerelateerde insights

divider