3. III
VOORWOORD
Deze scriptie is het resultaat van mijn afstudeerproject aan de Vrije Universiteit te Amsterdam.
Het onderzoek is uitgevoerd in het kader van het afronden van de Postgraduate Opleiding IT
Audit, Compliance & Advisory aan de Faculteit der Economische Wetenschappen en
Bedrijfskunde.
Door veel betrokken te zijn geweest bij DigiD assessments kwam ik in aanraking met het DigiD
normenkader. Mijn ervaring met de klanten waar ik DigiD assessments uitvoerde leerde mij dat
er verschillende interpretaties bestonden rondom de richtlijnen uit het normenkader. De
klanten vonden dat ze voldeden aan bepaalde normen (door te vergelijken met andere
gemeenten die voldeden aan de richtlijnen) en wij als controlerende organisatie vonden dat ze
niet voldeden. De discussies met de klanten resulteerde uiteindelijk in ontevreden klanten die
het niet eens waren met de gepubliceerde rapporten en dus voor de eerstvolgende assessment
gebruik zouden maken van een IT audit organisatie waarbij hun opzet en bestaan wel voldeed
aan de richtlijn. Deze discussies zorgde ervoor dat ik een geschikt onderwerp vond om mijn
studie af te ronden.
Graag bedank ik mijn begeleider Paul Harmzen, RE RA (Vrije Universiteit) voor zijn begeleiding
en ondersteuning bij de uitvoering van dit onderzoek en de totstandkoming van deze scriptie.
Tevens bedank ik de IT auditors die deel hebben genomen aan dit onderzoek. Zonder de mening
van deze IT auditors was ik niet in staat geweest om de informatie te verzamelen die nodig was
voor dit onderzoek.
Mourad Hajjouji
Amsterdam, september 2015
4. IV
SAMENVATTING
De introductie van internet heeft vele soorten van dienstverlening in de wereld veranderd.
Onder andere de wijze waarop we ons kunnen legitimeren bij de overheid. Men kan zich via het
internet steeds meer elektronisch legitimeren. Sinds enkele jaren is DigiD in Nederland
geïntroduceerd. DigiD is het digitale authenticatiemiddel voor overheidsinstanties en
organisaties die een overheidstaak uitvoeren. DigiD staat voor Digitale Identiteit en is een
persoonlijke combinatie van een gebruikersnaam en een wachtwoord (Rijksoverheid, 2014).
De DigiD haalt helaas regelmatig op een negatieve wijze de landelijke media. Denk aan de
DigiNotar affaire uit 2011 waarbij het bedrijf dat de beveiligingscertificaten van onder meer
DigiD leverde gehackt was. De DigiD webapplicatie kent vele kwetsbaarheden en bedreigingen.
Daarom heeft de voormalig minister Spies van het ministerie van Binnenlandse Zaken en
Koninkrijksrelaties (BZK) in 2012 de maatregel afgekondigd dat alle organisaties die gebruik
maken van de DigiD hun ICT beveiliging moeten laten toetsen middels een ICT-
beveiligingsassessment. Dit assessment is gebaseerd op 28 beveiligingsmaatregelen uit het
document ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber Security
Center. Ook is beschreven dat de beveiligingsrichtlijnen door hun opzet breed toepasbaar zijn.
Dit is als richtlijn fijn om voor een breed spectrum aan dienstverlening toe te kunnen passen,
maar als toepassing voor de norm van DigiD te generiek. De literatuur beschrijft hoe je deze
brede richtlijnen over het algemeen zou moeten beoordelen, maar beschrijft niet voldoende hoe
de norm voor DigiD geïnterpreteerd moet worden. Daarom ligt de aandacht van dit
afstudeeronderzoek bij het opstellen van een eenduidigere en consistente DigiD ICT-
beveiligingsassessment.
De probleemstelling van de afstudeerscriptie luidt daarom “Wat zijn onderliggende maatregelen
van het normenkader en welke wegingsfactoren worden toegekend aan de onderliggende
maatregelen op beveiligingsrichtlijnniveau om tot een consistente oordeelsvorming van de
beveiligingsrichtlijnen van het DigiD ICT-beveiligingsassessment te komen?”
Om de consistentie van de oordeelsvorming van de DigiD normenkader verder te verbeteren heb
ik het door Logius en het NCSC gedefinieerde normenkader gespecificeerd. Het document ‘ICT-
beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber Security Center is gebruikt
voor de selectie van de onderliggende maatregelen. Middels deze exercitie ben ik tot de
conclusie gekomen dat er niet voldoende risico identificatie en specificatie ten grondslag heeft
gelegen bij het opstellen van het DigiD normenkader. Dit heeft ertoe geleid dat inconsistentie
kan optreden in de oordeelsvorming van de DigiD norm.
Aan de hand van de literatuurstudie en een dialoog met een DigiD expert heb ik zelfstandig
onderliggende maatregelen gesplitst in ‘must have’ en ‘should have’ maatregelen. Daarnaast heb
ik de ‘must have’ maatregelen een weging gegeven om een totaaloordeel te kunnen vellen per
richtlijn. Dit normenkader en de wegingen zijn vervolgens voorgelegd aan experts die veelvuldig
met informatiebeveiliging te maken hebben. Waar nodig zijn vervolgens aanpassingen gemaakt.
Het resultaat van dit onderzoek is een gespecificeerd normenkader voor DigiD ICT-
beveiligingsassessment, waarmee een IT-auditor een consistent oordeel kan vellen. Daarnaast
zijn voor de ‘must have’ maatregelen wegingsfactoren opgesteld die als hulpmiddel ingezet kan
worden om overzichtelijker een totaaloordeel per norm te vellen.
5. V
INHOUD
1 DIGID ICT-BEVEILIGINGSASSESSMENT VERHOOGT DE KWALITEIT VAN ICT-BEVEILIGING......................... 1
1.1 INTRODUCTIE ....................................................................................................................................... 1
1.2 ACHTERGROND..................................................................................................................................... 1
1.3 PROBLEEMSTELLING............................................................................................................................... 2
1.4 ONDERZOEKSDOELSTELLING..................................................................................................................... 2
1.4.1 Hoofdvraag.................................................................................................................................. 3
1.4.2 Deelvragen................................................................................................................................... 3
1.5 SCOPE................................................................................................................................................ 4
1.6 BEPERKINGEN ...................................................................................................................................... 4
1.7 ONDERZOEKSMETHODOLOGIE .................................................................................................................. 4
1.7.1 Onderzoeks methode.................................................................................................................... 5
1.7.2 Onderzoeksplan ........................................................................................................................... 5
1.8 RELEVANTIE VAN HET ONDERZOEK ............................................................................................................. 7
1.9 RAPPORTSTRUCTUUR ............................................................................................................................. 7
2 LITERATUURSTUDIE ................................................................................................................................. 8
2.1 DIGID................................................................................................................................................ 8
2.1.1 Webapplicatie.............................................................................................................................. 9
2.1.2 Gebruik van DigiD ........................................................................................................................ 9
2.2 KWETSBAARHEDEN EN BEDREIGINGEN ...................................................................................................... 11
2.3 DIGID BEVEILIGINGSRISICO’S.................................................................................................................. 12
2.4 DIGID ICT-BEVEILIGINGSASSESSMENT...................................................................................................... 16
2.4.1 Norm ICT-beveiligingsassessments DigiD.................................................................................... 16
2.4.1.1 Onderliggende maatregelen ............................................................................................................. 17
2.5 HANDREIKING NOREA .......................................................................................................................... 18
2.6 CONCLUSIE LITERATUURSTUDIE............................................................................................................... 19
3 SPECIFICERING VAN HET NORMENKADER EN TOEKENNEN VAN WEGINGSFACTOREN ........................... 20
3.1 SPLITSING ......................................................................................................................................... 20
3.1.1 Methodiek ................................................................................................................................. 20
3.1.2 Uitvoering.................................................................................................................................. 21
3.2 WEGINGSFACTOREN ............................................................................................................................ 23
3.2.1 Methodiek ................................................................................................................................. 24
3.2.2 Toekenning ................................................................................................................................ 24
4 BEVINDINGEN VAN HET PRAKTIJKONDERZOEK...................................................................................... 27
4.1 INTERVIEW 1: .................................................................................................................................... 27
4.1.1 Bevindingen ............................................................................................................................... 27
4.2 INTERVIEW 2 ..................................................................................................................................... 28
4.2.1 Bevindingen ............................................................................................................................... 28
5 CONCLUSIE............................................................................................................................................. 30
5.1 BEANTWOORDING DEELVRAGEN ............................................................................................................. 30
5.2 BEPERKINGEN EN VERVOLGONDERZOEK .................................................................................................... 32
5.3 REFLECTIE ......................................................................................................................................... 33
6 LITERATUURLIJST................................................................................................................................... 34
Bijlage A. Norm ICT-beveiligingsassessments DigiD............................................................................. 35
Bijlage B. Maatregelen van de DigiD normen...................................................................................... 37
Bijlage C. Norea Handreiking voor DigiD assessments......................................................................... 43
Bijlage D. Initiële splitsing mede op basis van interview...................................................................... 48
6. VI
Bijlage E. Initiële wegingsfactoren ..................................................................................................... 58
Bijlage F. Finale Normenkader........................................................................................................... 58
Bijlage G. Rekenmodel....................................................................................................................... 58
FIGURENLIJST
FIGUUR 1: ONDERZOEKSMODEL ................................................................................................................................ 4
FIGUUR 2 ONDERZOEKSMETHODE STAPPEN VOLGENS YIN................................................................................................ 5
FIGUUR 3: RAAMWERK MET BEVEILIGINGSLAGEN VOOR WEBAPPLICATIES........................................................................... 13
TABELLENLIJST
TABEL 1: DIGID STATISTIEKEN VANUIT LOGIUS (LOGIUS, JAARREKENING, 2014).................................................................... 8
TABEL 2: RISICO’S PER BEVEILIGINGSRICHTLIJN............................................................................................................. 15
TABEL 3: ONDERLIGGENDE MAATREGELEN VAN EEN DIGID BEVEILIGINGSRICHTLIJN .............................................................. 17
TABEL 4: BEVEILIGINGSRICHTLIJN B-06 SPLITISING MH EN SH MAATREGELEN .................................................................... 21
TABEL 5: BEVEILIGINGSRICHTLIJN B-07 SPLITISING MH EN SH MAATREGELEN .................................................................... 22
TABEL 6: BEVEILIGINGSRICHTLIJN B-08 SPLITISING MH EN SH MAATREGELEN .................................................................... 23
TABEL 7: WEGINGEN VOOR DE ONDERLIGGENDE MAATREGELEN ...................................................................................... 24
TABEL 8: BEVEILIGINGSRICHTLIJN B-06 INCLUSIEF WEGING ............................................................................................ 25
TABEL 9: BEVEILIGINGSRICHTLIJN B-07 INCLUSIEF WEGING ............................................................................................ 26
GRAFIEKENLIJST
GRAFIEK 1: PERCENTAGE GEMEENTEN DAT PRODUCTEN INTERACTIEF AANBIEDT MET GEBRUIK VAN DIGID (2011-2013) ................ 9
GRAFIEK 2: ONDERSTEUNDE AUTHENTICATIEMETHODEN PER PRODUCT ............................................................................. 10
GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU. PERCENTAGE GEEFT DE WAARSCHIJNLIJKHEID AAN DAT
TENMINSTE ÉÉN KWETSBAARHEID VOORKOMT OP EEN WEBSITE. ...................................................................................... 11
7. 1
1 DIGID ICT-BEVEILIGINGSASSESSMENT VERHOOGT DE
KWALITEIT VAN ICT-BEVEILIGING
1.1 INTRODUCTIE
In dit hoofdstuk wordt een introductie gegeven van de onderzoekstudie om de lezer een globaal
beeld te geven van de strekking van deze scriptie. Eerst introduceer ik het
onderzoeksonderwerp door een informatieve achtergrond te geven in paragraaf 1.2. In
paragraaf 1.3 geef ik de probleemstelling. Vervolgens geef ik in paragraaf 1.4 de
onderzoeksdoelstelling en de onderzoeksvragen. In paragraaf 1.5 en 1.6 geef ik de scope en de
beperkingen van het onderzoek. In paragraaf 0 beschrijf ik de onderzoeksmethodologie en in
1.9 geef ik aan wat de bijdrage van dit onderzoek is. Als laatste geef ik in paragraaf 1.9 de
structuur van dit rapport aan.
1.2 ACHTERGROND
Cyber-security staat de laatste jaren veel in de belangstelling. Organisaties die veel verliezen
lijden, inbraken op controlesystemen, aanvallen op kritische infrastructuur en vele andere
onderwerpen bereikten de publiciteit de afgelopen periode. In 2011 heeft de technologiewebsite
Webwereld de maand oktober uitgeroepen tot “de maand van het privacy lek” ook wel bekend
als “Lektober”. Tijdens deze maand heeft de website aangetoond dat de ICT-beveiliging bij de
overheid niet altijd in orde was. Andere voorvallen, die wat meer recentelijk zijn, zijn de
Nederlandse banken en de DigiD-voorziening die te maken hebben gehad met cyberaanvallen.
Hierdoor werd de digitale dienstverlening van deze organisaties stil gelegd. De ICT-beveiliging is
in de eerste plaats een verantwoordelijkheid van de individuele (overheids-) organisaties zelf.
Maar dat alléén is niet voldoende met de huidige elektronische dienstverlening die door
verschillende partijen tot stand komt. Deze dienstverlening is vaak modulair en in ketens
georganiseerd. De informatiebeveiliging in de keten als geheel moet op orde zijn. De zwakste
schakels in die ketens bepalen namelijk de veiligheid van de keten als geheel.
Voormalig minister Spies van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties
(BZK) heeft op 29 oktober 2012 de maatregel afgekondigd dat alle organisaties (bijvoorbeeld
alle 403 gemeenten) die gebruik maken van de DigiD (het digitale authenthicatiemiddel voor de
overheid en dienstverleners met een publieke taak ) hun ICT beveiliging, voor zover deze DigiD
raakt, laten toetsen middels een ICT-beveiligingsassessment1. Deze jaarlijkse verplichtstelling
zou de veiligheid van de koppelingen met de DigiD moeten borgen. Via een ICT-
beveiligingsassessment moeten zij dit vervolgens door een Register EDP-auditor laten toetsen.
De ICT-beveiligingsassessment moet de beveiligingsnorm toetsen. Deze norm is gebaseerd op de
richtlijnen uit het document “ICT-beveiligingsrichtlijnen voor webapplicaties” van het Nationaal
Cyber Security Centrum (NCSC). Deze bestaat uit 59 richtlijnen. De norm voor de ICT-
beveiligingsassessment is vastgesteld door het ministerie van Binnenlandse Zaken en
Koninkrijksrelaties in overleg met Logius, Rijksauditdienst en NCSC. De beveiligingsrichtlijnen
van NCSC zijn breed toepasbaar voor ICT- oplossingen die gebruikmaken van webapplicaties. De
1 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2012/10/29/aanbiedingsbrief-bij-
rapport-ict-beveiligingsassessments-digid.html
8. 2
norm, 28 richtlijnen, bestaat uit de richtlijnen met de hoogste impact op de veiligheid van DigiD.
Logius2 adviseert echter de hele set van richtlijnen van NCSC te adopteren.
1.3 PROBLEEMSTELLING
De beveiligingsrichtlijnen zijn breed opgezet zodat deze breed toepasbaar zijn voor ICT-
oplossingen. Voor de IT-auditors is het uitgangspunt dat per beveiligingsrichtlijn een oordeel
wordt gevraagd. Nu leidt het breed opzetten van normen in de praktijk tot verschillende
interpretaties van het normenkader. Dit resulteert vervolgens tot verschillende beoordelingen
van de beveiligingsrichtlijnen door de IT auditors. Hierdoor wordt het voor Logius, de partij die
verantwoordelijk is voor de interpretatie van de conclusies op grond van de assessments,
moeilijker om een eenduidig en consistent totaaloordeel te geven. Daarnaast heeft Logius ervoor
gekozen om geen inzicht in de criteria te geven die worden gehanteerd bij de interpretatie van
de rapportages. Logius doet dit om ‘gedragseffecten' te voorkomen. Ook beschrijft de ICT-
Beveiligingsrichtlijnen voor webapplicaties dat de toepassing van de beveiligingsrichtlijnen
kunnen worden verheven tot een normenkader. Afhankelijk van de aard en de specifieke
kenmerken van de dienst zouden maatregelen kunnen worden weggelaten en/of worden
opgenomen en kunnen wegingsfactoren van de individuele maatregelen worden aangepast in
het normenkader. Een normenkader is voor DigiD op beveiligingsrichtlijnniveau opgesteld. Als
ik dan een niveau lager kijk dan zie ik dat voor het normenkader van de DigiD geen eenduidige
onderliggende specificering is opgesteld.
1.4 ONDERZOEKSDOELSTELLING
Het normenkader van het DigiD ICT-beveiligingsassessments is momenteel niet specifiek genoeg
om eenduidige en consistente beoordelingen per beveiligingsrichtlijn te krijgen van de
verschillende IT auditors binnen de verschillende organisaties die actief zijn. Iedere organisatie
die DigiD ICT-beveiligingsassessments uitvoert kan een andere interpretatie en wegingsfactoren
van maatregelen van een beveiligingsrichtlijn hanteren. Onderliggende maatregelen zijn de
maatregelen die een DigiD gebruikersorganisatie moet nemen om te voldoen aan één
beveiligingsrichtlijn. Hierdoor bestaat de mogelijkheid dat er met verschillende maten wordt
gemeten. Dit resulteert voor Logius in niet consistente oordelen van het assessment.
In de volgende subparagrafen staan de onderzoeksvragen die ik met het onderzoek wil
beantwoorden.
2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en zorgt voor overheidsbrede,
samenhangende ICT-producten. Logius verzorgt het beheer van het authenticatiemiddel DigiD en de bijbehorende
gebruikersondersteuning.
Het doel van deze scriptie is om het normenkader van DigiD ICT-beveiligingsassessment verder
te specificeren om inconsistente oordeelsvorming door middel van diversiteit in de
interpretaties en wegingsfactoren te minimaliseren.
9. 3
1.4.1 HOOFDVRAAG
In de voorgaande paragraaf heb ik vastgesteld dat het onderzoeksproject het normenkader van
DigiD ICT-beveiligingsassessment moet specificeren. Daarom is de hoofdonderzoeksvraag, die
de focus zal leggen in het opbouwen van de theorie van deze scriptie, als volgt:
Wat zijn onderliggende maatregelen van het normenkader en welke wegingsfactoren
worden toegekend aan de onderliggende maatregelen op beveiligingsrichtlijnniveau om tot
een consistente oordeelsvorming van de beveiligingsrichtlijnen van het DigiD ICT-
beveiligingsassessment te komen?
Hierbij gaat het om de interpretatie van het normenkader en de genomen maatregelen waarbij
de weging als hulpmiddel zal dienen om overzichtelijk vast te stellen in hoe hoeverre de
betreffende beveiligingsrichtlijn adequaat is ingevuld.
1.4.2 DEELVRAGEN
Om de hoofdvraag te beantwoorden begin ik eerst met het beantwoorden van een aantal
deelvragen. Daarom wordt de onderzoeksvraag onderverdeeld in een aantal deelvragen om het
onderzoek beter te structureren. De deelvragen hebben een duidelijke logica en zijn gebaseerd
op het onderzoeksmodel. Het onderzoek begint met het begrijpen van de onderzochte
onderwerpen door het uitvoeren van een literatuuronderzoek om een betere grip te krijgen op
de interpretatie van de beveiligingsrichtlijnen. Daarom zullen de eerste drie deelvragen als volgt
zijn:
1. Welke onderliggende maatregelen zijn nodig om de beveiligingsrichtlijnen af te dekken?
Met het resultaat van deze vraag ben ik in staat om de verschillende onderliggende maatregelen
te definiëren per beveiligingsrichtlijn. De volgende stap in het onderzoek is om vast te stellen
welke set maatregelen minimaal getroffen moeten worden voor het DigiD ICT-
beveiligingsassessment. Dit leidt tot de volgende deelvraag:
2. Welke onderliggende maatregelen moeten minimaal getroffen worden (must haves) en
welke onderliggende maatregelen zijn zeer gewenst (should haves)?
Elke beveiligingsrichtlijn zal bestaan uit verschillende sets maatregelen. Om vervolgens aan te
kunnen geven in hoeverre de betreffende beveiligingsrichtlijn adequaat is ingevuld is het van
belang dat de maatregelen die minimaal getroffen moeten worden (“must haves”) een
wegingsfactor mee krijgen om tot een consistente oordeelsvorming te komen. Dit leidt tot de
volgende deelvraag:
3. Welke wegingsfactoren worden toegekend aan de onderliggende maatregelen van een
beveiligingsrichtlijn die minimaal getroffen moeten worden (must haves) om middels
een hulpmiddel tot een consistente oordeelsvorming te komen?
10. 4
Een overzicht van het onderzoeksmodel is na het onderzoeken van de probleemstelling en
hoofdvraag opgesteld en afgebeeld in Figuur 1.
FIGUUR 1: ONDERZOEKSMODEL
1.5 SCOPE
Het DigiD ICT-beveiligingsassessment is gebaseerd op de richtlijnen uit het document “ICT-
beveiligingsrichtlijnen voor webapplicaties” van het NCSC. Dit onderzoek heeft zich uitsluitend
gericht op het normenkader dat is vastgesteld door het ministerie van Binnenlandse Zaken en
Koninkrijksrelaties voor DigiD. Dit normenkader bestaat uit 28 beveiligingsrichtlijnen. De
overige beveiligingsrichtlijnen zijn binnen dit onderzoek buiten beschouwing gelaten.
1.6 BEPERKINGEN
Dit onderzoek heeft zich uitsluitend gericht op de interpretatie van het normenkader ten
behoeve van het auditen van DigiD koppelingen. Voor de interpretatie van de
beveiligingsrichtlijnen word uitsluitend gebruik gemaakt van de richtlijnen uit het document
“ICT-beveiligingsrichtlijnen voor webapplicaties” van het NCSC en expert judgement van
deskundigen die veel ervaring hebben in informatiebeveiliging.
1.7 ONDERZOEKSMETHODOLOGIE
In deze paragraaf zal ik de onderzoeksmethodologie beschrijven. Eerst beschrijf ik de
onderzoeksmethode en dan het onderzoeksplan.
Huidige normenkader
Richtlijn1:…
Richtlijn2:…
Richtlijn3:…
Richtlijn27:…
Richtlijn28:…
Specificeren
Richtlijn1:…
Maatregel 1:..
Maatregel 2:..
Richtlijn2:…
Maatregel 1:…
Maatregel 2:..
Maatregel 3:..
Splitsen
Must have: Should have:
Richtlijn1:… Richtlijn1..
Maatregel 1:.. Maatregel
2:..
Richtlijn2:… Richtlijn2:…
Maatregel 1:… Maatregel
2:…
Maatregel 3:..
Wegen
Must have:
Richtlijn1:…
Maatregel 1:.. (10)
Richtlijn2:…
Maatregel 1:… (2)
Maatregel 3:.. (8)
11. 5
1.7.1 ONDERZOEKS METHODE
Volgens Yin (Yin, 2008) zijn er verschillende onderzoeksmethoden om wetenschappelijk
onderzoek te doen, namelijk experimenten, enquêtes, literatuurstudie, interviews, en het
verrichten van observaties of case studies. Een literatuurstudie en interviews zijn goede
methoden voor dit onderzoek, omdat de literatuur voldoende de risico’s van een web applicatie
en de te nemen maatregelen om dit risico grotendeels te mitigeren beschrijft. De DigiD applicatie
is ook een web applicatie. Daarnaast is het onderzoeksobject van deze scriptie de interpretatie
van de DigiD ICT-beveiligingsnorm. Om een onderzoek rondom interpretatie uit te voeren zijn
interviews met deskundigen de ideale methode.
1.7.2 ONDERZOEKSPLAN
Het onderzoeksplan is een plan van hoe de informatie verzameld gaat worden om vervolgens de
onderzoeksvraag te beantwoorden. Het onderzoek is kwalitatief van aard en in fases uitgevoerd
en gebaseerd op de aanpak van case study methodologie van Yin. De aanpak is gebaseerd op
basis van een literatuuronderzoek en doormiddel van interviews met praktijkbeoefenaars die
met het onderwerp DigiD ICT-beveiligingsassessments veelvuldig in aanraking komen.
Hieronder geef ik kort aan wat ik middels beide methoden wil verzamelen.
1. Literatuurstudie
Over de interpretatie van DigiD ICT-beveiligingsnorm is weinig literatuur beschikbaar. De
literatuur beschrijft wel in details hoe men de risico’s van web applicaties kan mitigeren middels
maatregelen. Aangezien de DigiD applicatie tevens een web applicatie is, zal het in de
literatuuronderzoek gaan om de theoretische verdieping van de beveiligingsrichtlijnen en de
onderliggende maatregelen. Van hieruit heb ik een eerste versie van de scriptie geschreven met
daarin een initiële beantwoording van de onderzoeksvraag.
2. Interviews
Bij de interviews gaat het om inzicht krijgen in hoe de verschillende betrokkenen vanuit hun rol
omgaan met het fenomeen DigiD ICT-beveiligingsrichtlijnen, of er aanvullingen zijn op de
maatregelen, hoe de scheiding in “must have” en “should have” maatregelen volgens hen is en de
meegegeven wegingsfactoren. Hiervoor zal ik een semigestructureerd interview houden.
Hieronder is de opbouw concreter uitgewerkt in fases die door Yin zijn opgesteld:
FIGUUR 2 ONDERZOEKSMETHODE STAPPEN VOLGENS YIN
12. 6
Plan
Deze fase bevat de formulering en verdieping van het onderzoeksgebied, probleemstelling,
onderzoeksvragen, onderzoeksaanpak.
Design
Deze fase bevat het verzamelen, bestuderen en beschrijven van literatuur op het gebied van
DigiD (theoretische verdieping), hierbij zal de literatuurstudie een invulling geven aan de te
hanteren definitie voor DigiD, de risico’s van de DigiD koppeling en de onderliggende
maatregelen van het DigiD normenkader die centraal staan in dit onderzoek. Dit resulteert
vervolgens in een ontwerp van een gespecificeerd normenkader en een rekenmodel met
wegingen als hulpmiddel om consistente oordelen te vellen. Voorafgaand de splitsing zal ik in
een interview met een DigiD deskundige de opzet van de splitsingen en wegingen bespreken.
Hierna ga ik aan de hand van expert judgement vaststellen welke onderliggende maatregelen
minimaal getroffen moeten worden en welke onderliggende maatregelen zeer gewenst zijn. Ook
ga ik door middel van expert judgement vaststellen welke wegingsfactoren toegekend moeten
worden aan de maatregelen die minimaal getroffen moeten worden om een gedegen en
consistente oordeelsvorming te verkrijgen. Hierna ga ik deze onder experts in het veld toetsen
met behulp van semigestructureerde interviews.
Prepare
Deze fase bestaat uit het voorbereiden van de semigestructureerde interviews. Een
semigestructureerd interview is als men geen vaste vragenlijst wil gebruiken. In plaats daarvan
gebruikt men diverse onderwerpen voor het interview. Hierbij is het belangrijk dat de
onderzoeker vaardig is in het stellen van goede open vragen over de onderwerpen, goed luistert,
de antwoorden goed interpreteert, zichzelf goed kan aanpassen en flexibel is.
Collect
Deze fase bestaat uit het voeren van de interviews met de praktijkbeoefenaars middels
semigestructureerde interviews. De volgende onderwerpen zullen als uitgangspunt voor de
discussies dienen:
· De gemaakte splitsing in ‘must have’ en ‘should have’ maatregelen voor de DigiD ICT-
beveiligingsassessment;
· Aanvullingen op de onderliggende maatregelen per beveiligingsrichtlijn;
· Zwaarste / belangrijkste onderliggende maatregelen van de ‘must have’ maatregelen die ook
de hoogste wegingsfactor toegekend moeten krijgen.
Om goed naar de geïnterviewde persoon te luisteren en te kunnen doorvragen zal ik gebruik
maken van een notitieblok om de belangrijkste aantekeningen alvast op papier te zetten maar
ook het gesprek - in overeenstemming met de geïnterviewde persoon – opnemen om achteraf
nog terug te beluisteren ter verificatie.
Analyze
Deze fase bevat het analyseren van de verkregen input uit de interviews. Deze analyse gebeurt
per richtlijn op het niveau van de gemaakte splitsing en de gemaakte weging. Afhankelijk van de
verkregen response zullen aanpassingen gemaakt worden.
Share
De ‘Share’ fase gaat over het afstemmen van de vastlegging van de gevoerde interviews met de
experts en het verspreiden van de scriptie aan diverse geïnteresseerden.
13. 7
1.8 RELEVANTIE VAN HET ONDERZOEK
Theoretische relevantie
De theoretische doelstelling van deze scriptie is om een significante bijdrage te leveren aan de
literatuur van het normenkader van DigiD ICT-beveiligingsassessments in termen van
interpretatie van de beveiligingsrichtlijnen, en daartoe behorende wegingsfactoren als
hulpmiddel om consistente beoordelingen uit te voeren. Organisaties die het assessment
uitvoeren gebruiken het normenkader dat is afgegeven door Logius welke gebaseerd is op brede
richtlijnen van het NCSC. Het breed opzetten van beveiligingsrichtlijnen leidt in de praktijk tot
verschillende interpretaties van het normenkader met verschillende beoordelingen per
beveiligingsrichtlijn. Dit leidt vervolgens tot implicaties voor Logius, de partij die
verantwoordelijk is voor de interpretatie van de conclusies op grond van de assessments die
consistent zijn.
IT auditors relevantie
IT auditors voelen de noodzaak om naar een eenduidige en consistente interpretatie van het
normenkader te gaan. IT auditors willen vaststellen wat de minimale getroffen maatregelen
moeten zijn om te voldoen aan een beveiligingsrichtlijn en het mitigeren van de risico’s die DigiD
koppelingen met zich meebrengen. Met de resultaten van deze studie kunnen IT auditors een
betere dienstverlening bieden om organisaties die gebruik maken van DigiD koppelingen te
ondersteunen bij het opzetten van maatregelen. Ook kunnen ze hiermee beter aansluiten bij de
eisen van klant en derhalve assessments van een betere kwaliteit uitvoeren.
1.9 RAPPORTSTRUCTUUR
Deze scriptie zal beginnen met hoofdstuk 1 waarin uitleg wordt gegeven over de achtergrond
van het onderzoek, de probleemstelling, de hoofd- en deelvraag, onderzoeksmethodologie en de
relevantie. Hoofdstuk 2 zal de literatuurstudie beschrijven, zoals achtergrondinformatie van
DigiD, het normenkader en de risico´s. Hoofdstuk 3 zal een beschrijving geven van de initiële
onderverdeling in “must have” en “should have” maatregelen en de initiële wegingsfactoren.
Hoofdstuk 4 beschrijft de analyse en in hoofdstuk 5 wordt de conclusie beschreven. Tot slot zijn
de normenkaders en specificeringen in de bijlagen opgenomen.
14. 8
2 LITERATUURSTUDIE
In dit hoofdstuk wordt nader ingegaan op de achtergronden, de kwetsbaarheden en
bedreigingen, de beveiligingsrisico’s, de beveiligingsnorm en het toetsingsproces.
2.1 DIGID
DigiD is het digitale authenticatiemiddel voor overheidsinstanties en organisaties die een
overheidstaak uitvoeren. DigiD staat voor Digitale Identiteit en is een persoonlijke combinatie
van een gebruikersnaam en een wachtwoord (Rijksoverheid, 2014). Door met een persoonlijke
DigiD in te loggen kan een persoon zich digitaal legitimeren bij de organisatie waarbij men
inlogt. Zo weten organisaties met wie ze te maken hebben. Na het inloggen, krijgt technisch
gezien de organisatie waarmee contact gezocht wordt het Burgerservicenummer van de persoon
die van de digitale diensten van de organisatie gebruik wil maken teruggekoppeld. Hiermee weet
de ontvangende instantie met wie ze te maken heeft en over welke informatie zij reeds van de
betrokken persoon beschikt of kan beschikken (bijv. informatie uit de Gemeentelijk Basis
Administratie (GBA) of in de eigen opgeslagen administratie). Hierdoor kunnen inmiddels ruim
11 miljoen personen in Nederland, met behulp van 1 inlogcode digitaal zaken doen (117 miljoen
keer) met 617 overheidsorganisaties (Logius, Jaarrekening, 2014).
De voordelen van DigiD zijn als volgt op te sommen:
► minder administratieve lasten;
► meer efficiëntie;
► een betere dienstverlening.
Een digitaal authenticatiemiddel voorziet de gebruikersorganisaties van DigiD in een aantal
voordelen die veelvoorkomende problemen oplossen/lasten minimaliseren. Helaas leidt het
gebruik van DigiD ook tot een aantal risico’s die uiteindelijk door middel van maatregelen
beheerst moeten worden.
Logius is de organisatie in Nederland die verantwoordelijk is voor de digitale overheid. Zij
beheren en verbeteren de overheidsbrede en samenhangende ICT-producten en diensten,
waaronder de DigiD-koppeling en de bijbehorende gebruikersondersteuning. Hieronder geef ik
kort de statistieken rondom het gebruik van de DigiD.
DigiD statistieken Aantal in 2012 Aantal in 2013
Actieve DigiD’s (persoonlijke accounts) 9.800.000 11.011.509
DigiD aansluitingen bij de organisaties 972 1.068
Organisaties die gebruik maken van DigiD 590 617
Aantal DigiD authenticaties 75.500.00 117.032.632
TABEL 1: DIGID STATISTIEKEN VANUIT LOGIUS (LOGIUS, JAARREKENING, 2014)
Doordat het gebruik van DigiD nog groeit en de vele cyberaanvallen is het belangrijk dat de ICT-
beveiliging in orde is bij de houder van een DigiD koppeling.
15. 9
2.1.1 WEBAPPLICATIE
De DigiD applicatie wordt gekenmerkt als een webapplicatie. Een webapplicatie of web app is
gedefinieerd als applicatie software die bereikbaar is via een webbrowser of via een andere
cliënt die ondersteuning biedt voor het Hypertext Transfer Protocol (http) (Nations, 2014). Een
dergelijk cliënt wordt ‘http user agent’ genoemd. De applicatie software is gemaakt in een
browser en ondersteunt programmeertaal (zoals de combinatie van Javascript, HTML en CSS) en
baseert zich op een gemeenschappelijke web browser om de applicatie weer te geven. De kern
van deze definitie is dat een webapplicatie altijd bereikbaar is op basis van HTTP of de
versleutelde vorm hiervan: HTTPS (HTPP Secure). De functionaliteit die een webapplicatie biedt
is onbeperkt, alleen de techniek is altijd gebaseerd op de HTPP-protocolstandaard (zoals
gedefinieerd in ‘Requests for Comments’ (RFC) 1945, 2068, 2616, 2617 en 2965).
2.1.2 GEBRUIK VAN DIGID
Om de digitale dienstverlening aan burgers en ondernemers te verbeteren heeft de overheid in
2011 een implementatieagenda tot 2015 opgesteld (i-NUP). De visie van de overheid is:
“Bedrijven en burgers kunnen uiterlijk in 2017 zaken die ze met de overheid doen, zoals het
aanvragen van een vergunning, digitaal afhandelen.” (Plasterk, 2013).
Uit een benchmark onderzoek van een Big4 naar de digitale dienstverlening in 2013 onder
gemeenten blijkt er een beperkte stijging in het gebruik van DigiD (zie Grafiek 1). Maar zien we
wel dat veel producten al bij veel gemeenten digitaal aangeboden worden.
GRAFIEK 1: PERCENTAGE GEMEENTEN DAT PRODUCTEN INTERACTIEF AANBIEDT MET GEBRUIK VAN
DIGID (2011-2013)
Hiernaast blijkt ook uit het onderzoek dat er nog steeds producten volledig digitaal aangeboden
worden waarbij de gebruikers zich niet hoeven te authentiseren met DigiD. Diverse gemeenten
gebruiken een alternatieve methode, zoals het inloggen met BSN of een eigen
authenticatiemethode. De vraag is in hoeverre de exclusiviteit van de gegevens en de privacy van
de burgers is gewaarborgd en waarom DigiD niet gebruikt wordt bij de aangeboden digitale
producten. In de komende jaren zal dit moeten stijgen naar 100%.
16. 10
In de benchmark digitale dienstverlening 2013 heeft de onderzoeker voor alle volledig digitaal af
te nemen producten de ondersteunde authenticatiemechanisme(n) onderzocht. Hierin
onderkennen zij de volgende methoden:
► DigiD is verplicht;
► DigiD wordt ondersteund maar is niet verplicht;
► Geen of ander authenticatiemechanisme.
In het rapport wordt geconstateerd dat het voor de burger, bij het merendeel (60,1%) van de
interactief af te nemen producten, verplicht is om zich te authentiseren met DigiD (zie Grafiek 2).
Voor de producten waar de onderzoeker DigiD authenticatie als vereist ziet, constateren zij dat
85% DigiD wordt verplicht.
GRAFIEK 2: ONDERSTEUNDE AUTHENTICATIEMETHODEN PER PRODUCT
Naast gemeenten, wordt DigiD als authenticatiemiddel ook gebruikt door andere
overheidsinstellingen en bedrijven. Hieronder belicht ik in het kort een aantal voorbeelden uit
de praktijk:
► Donorregister (https://www.donorregister.nl): een persoon kan zich digitaal legitimeren bij
het donorregister om een keuze te maken of zijn organen en weefsels na het overlijden wel
of niet beschikbaar voor transplantatie wil stellen.
► CWI (https://digid.werk.nl): een persoon kan zich digitaal legitimeren om zich bij het
Centrum voor Werk en Inkomen in te schrijven en hulp te krijgen om aan werk en
inkomen te komen.
► Belastingdienst (https://mijn.toeslagen.nl): een persoon kan zich digitaal legitimeren bij de
belastingdienst om een belastingaangifte digitaal te ondertekenen of om toeslagen online
aan te vragen of te wijzigen.
17. 11
► Kadaster (https://mijn.overheid.nl): een persoon kan zich digitaal legitimeren om in te zien
wat de perceel- en eigendomsgegevens zijn van een eigen perceel.
► CBR (https://mijn.cbr.nl): een persoon kan zich digitaal legitimeren bij het CBR om theorie-
examens te reserveren, rijscholen te machtigen om een praktijkexamen aan te vragen,
beroepsexamen reserveren/wijzigen, eigen verklaringen in te vullen en resultaten te
bekijken.
► Studielink (https://app.studielink.nl): een persoon kan zich digitaal legitimeren bij
studielink om zich in te schrijven voor een opleiding op een school en eventueel
studiefinanciering aan te vragen.
2.2 KWETSBAARHEDEN EN BEDREIGINGEN
De DigiD webapplicatie kent vele kwetsbaarheden en bedreigingen. Deze kwetsbaarheden en
bedreigingen zijn van verschillende niveaus; denk aan kwetsbaarheden en bedreigingen op
authenticatieniveau (bijvoorbeeld het omzeilen van authenticatiemechanismen), op
netwerkniveau (bijvoorbeeld Denial of Services (DOS)) of op applicatieniveau (bijvoorbeeld
Cross-Site Scripting (XSS)).
In Grafiek 3 worden de resultaten van een onderzoek van Whitehat Security naar
veelvoorkomende lekken (top 15) in webapplicaties getoond (Whitehat, 2013).
GRAFIEK 3 WEBAPPLICATIE KWETSBAARHEDEN OP APPLICATIENIVEAU. PERCENTAGE GEEFT DE
WAARSCHIJNLIJKHEID AAN DAT TENMINSTE ÉÉN KWETSBAARHEID VOORKOMT OP EEN WEBSITE.
Hiermee kan ik vaststellen dat het lekken van informatie (54%) en Cross-Site Scripting (52%) de
meest voorkomende kwetsbaarheden zijn op webapplicaties. Het lekken van informatie
54% 52%
32%
26% 25%
22% 21%
14% 13% 11% 11% 9% 8% 7%
4%
0%
10%
20%
30%
40%
50%
60%
18. 12
(information leakage3) is over het algemeen een kwetsbaarheid waarbij een website gevoelige
gegevens openbaart, zoals de technische details van de webapplicatie, de omgeving of
gebruikersspecifieke gegevens. Gevoelige gegevens kunnen worden gebruikt door een aanvaller
om de applicatie, de hosting-netwerk, of gebruikers uit te buiten. Bekende voorbeelden zijn het
vergeten van HTML/Script commentaar met gevoelige informatie te verwijderen (database
wachtwoorden) of onjuiste applicatie/server configuraties. De op twee na veelvoorkomende
kwetsbaarheid, ‘Cross-Site Scripting’4, is een fout in de beveiliging van een webapplicatie. Het
probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url,
request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terecht komt naar de
eindgebruiker. Via deze bug in de website kan er kwaadaardige code (Javascript, VBScript,
ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies
worden bekeken, sessies van een gebruiker worden overgenomen, functionaliteit van een
website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. Al deze
kwetsbaarheden leiden tot risico’s voor de webapplicatie van DigiD.
2.3 DIGID BEVEILIGINGSRISICO’S
Digitale informatie-uitwisseling is van cruciaal belang voor het functioneren van de Nederlandse
maatschappij. Er zijn weinig digitale processen te bedenken die kunnen worden uitgevoerd
zonder enige uitwisseling van informatie. Besturing van processen gaat immers altijd op basis
van (management)informatie (Hintzbergen, Smulders, & Baars, 2008). De beschikbaarheid,
integriteit en vertrouwelijkheid ervan kunnen van essentieel belang zijn voor het behoud van de
concurrentiepositie, winstgevendheid, cashflow, naleving van de wet en het imago van de
organisatie. Deze digitale services staan daarom vaak in de belangstelling van mensen die kwaad
willen en die met verschillende bedoelingen een bedreiging kunnen vormen voor de aangeboden
service. Daarom worden steeds meer organisaties met hun informatiesystemen geconfronteerd
met beveiligingsrisico’s. Denk aan risico’s zoals spionage, computerfraude, vandalisme en
sabotage. Virussen, hacking en het verhinderen van dienstverlening komen steeds vaker voor en
worden steeds groter en steeds innovatiever. De definitie van risico wordt als volgt
geformuleerd:
Risico is het product van de kans op optreden van een dreiging en de mogelijke schade als gevolg
van deze dreiging (risico = kans x schade) (Janssen, 2007).Een beveiligingsrisico is dan het product
van de kans op optreden van een beveiligingsdreiging en de mogelijke schade als gevolge van deze
beveiligingsdreiging.
De belangrijkste gevolgen van de beveiligingsrisico’s die ik zou kunnen noemen zijn 1) dat DigiD
misbruikt kan worden om fraude te plegen met bijvoorbeeld toeslagen of 2) dat de privacy niet
gewaarborgd kan worden. Fraudeurs kunnen bijvoorbeeld zorg- en huurtoeslagen aanvragen op
bankrekeningnummers waar ze toegang toe hebben. Recent zijn er twee websites offline gehaald
omdat zij er op uit zouden zijn om inloggegevens voor DigiD te verzamelen om wellicht fraude
mee te plegen (Moerman, 2014). Ook was er in het begin van het jaar in 2014 een geval waarbij
de DigiD gegevens opnieuw zijn aangevraagd van een groep Groningse studenten en waarmee
toeslagen zijn aangevraagd en uitgekeerd op rekeningnummers van de fraudeurs. In totaal zijn
ongeveer vijfduizend DigiD-accounts buitgemaakt door fraudeurs. Slachtoffers van DigiD fraude
zijn wel door de instanties schadeloos gesteld. Alle vijfduizend getroffen DigiD-accounts zijn
3 https://www.owasp.org/index.php/Information_Leakage
4 https://www.owasp.org/index.php/Cross_Site_Scripting_Flaw
19. 13
inmiddels helemaal verwijderd. Het is namelijk belangrijk dat digitale communicatie
betrouwbaar is en voortdurend zorg krijgt. Daarom kan ik stellen dat overheidsorganisaties die
gebruikmaken van DigiD en hun ICT-beveiliging onvoldoende op orde hebben, een risico
vormen. Gegevens kunnen worden onderschept en misbruikt. Dat kan afbreuk doen aan het
vertrouwen dat gebruikers hebben in het systeem van DigiD.
In paragraaf 2.1.2 zagen we dat organisaties in toenemende mate diensten (moeten of zullen)
aanbieden via DigiD. Dit wordt aangeboden via websites en webservices. De informatie die de
organisaties kunnen aanbieden en de mogelijkheden die de systemen bieden nemen ook steeds
meer toe. Afhankelijkheid van een dergelijk informatiesysteem en bijbehorende diensten
betekent dat organisaties steeds kwetsbaarder worden voor bedreigingen via de beveiliging. De
verbinding tussen de openbare en private netwerken en het delen van gegevens, de
ketenafhankelijke digitale dienstverlening, maakt het steeds moeilijker om de
informatiebeveiliging voldoende op orde te houden. De beveiliging van de gehele keten moet
daarom op orde zijn. De zwakste schakels in die ketens bepalen uiteindelijk de veiligheid van de
gehele keten. Het NCSC beschrijft daarom ook dat het van belang is dat de aandacht bij de
beveiliging van de webapplicatie niet alleen uitgaat naar de DigiD webapplicatie, doordat de
DigiD webapplicatie onderdeel is van een keten van ICT-diensten (NCSC D. 1., 2012). Ook alle
componenten om de webapplicatie heen, zoals fileservers, webservers, databaseservers,
besturingssystemen, netwerken, etc., waarvan de webapplicatie afhankelijk is, hebben een
belangrijke rol in het functioneren van de webapplicatie (NCSC D. 2., 2012). Bedreigingen in de
integriteit van, en het vertrouwen in, de DigiD webapplicatie vereist daarom actie van diverse
partijen (denk aan de softwareleverancier, de hosting-partij en de houder van de DigiD
aansluiting) om te waarborgen dat de digitale communicatie betrouwbaar is.
Door het treffen van beveiligingsmaatregelen op verschillende niveaus is het mogelijk om de
gelopen risico’s te verkleinen. Om inzicht te krijgen in de aard en de grootte van risico’s, alsmede
in de kosten en de effectiviteit van beveiligingsmaatregelen kunnen organisaties gebruik maken
van een risico analyse (Overbeek, Lindgreen, & Spruit, 2005). Het NCSC heeft integraal een risico
analyse met betrekking tot misbruik van webapplicaties uitgevoerd en beschrijft daarin alle
lagen waar ontwikkelaars, beheerders en architecten bij het beveiligen van een webapplicatie
aandacht aan moeten schenken. Om de risico’s op een heldere manier in kaart te brengen, is het
belangrijk de verschillende lagen te onderscheiden. Het NCSC baseert daarom de richtlijn voor
webapplicaties op het Raamwerk Beveiliging webapplicaties (RBW) (GOVCERT.NL, 2010). In dit
raamwerk beschrijft men de verschillende beveiligings-lagen (zie Figuur 3) die van toepassing
kunnen zijn op webapplicaties.
FIGUUR 3: RAAMWERK MET BEVEILIGINGSLAGEN VOOR WEBAPPLICATIES
20. 14
Zoals in voorgaand raamwerk te zien is, onderkent men 7 aandachtsgebieden. Als ik specifiek
naar de “Norm ICT-beveiligingsassessments DigiD” kijk (opgesteld door Logius, het NCSC en de
Auditdienst Rijk) dan raakt men niet alle aandachtsgebieden die gedefinieerd zijn door het NCSC.
De norm onderkent namelijk alleen maatregelen die gewaardeerd zijn met de classificatie ‘hoog’,
oftewel de sterkste mate van gewenstheid. Het is onduidelijk waarom de Norea en Logius
gekozen hebben voor de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius
adviseert echter wel op hun website dat alle organisaties, buiten de richtlijnen uit de norm, ook
de andere richtlijnen voor de webapplicatie adopteren. Hassing (Hassing, 2015) suggereert dat
de partijen hiervoor hebben gekozen omdat de DigiD audit op deze manier heel praktisch is en
snel uit te voeren is waarbij de kosten voor de instelling met DigiD-aansluiting beperkt blijven.
De DigiD norm raakt de volgende lagen:
1. Algemene beveiligingsrichtlijnen: laag met generieke maatregelen die niet tot een
specifieke laag behoren zoals in het RBW beschreven, maar hebben betrekking op het
geheel van de ICT-infrastructuur of zijn generiek voor ICT-componenten die gebruikt
worden voor de DigiD webapplicatie.
2. Netwerkbeveiliging: laag omtrent het beveiligen van de infrastructuur om de DigiD
webapplicatie bereikbaar te maken en om de webserver resources op te kunnen laten
vragen via firewalls, routers en switches.
3. Platformbeveiliging: laag omtrent het beveiligen van de besturingssystemen waarop
DigiD webservers, databaseservers etc. draaien.
4. Applicatiebeveiliging: laag omtrent het beveiligen van de DigiD webapplicatie.
5. Vertrouwelijkheid en onweerlegbaarheid: laag met bescherming van data en het bewijzen
dat bepaalde transacties daadwerkelijk hebben plaatsgevonden.
6. Monitoring, auditing en alerting: laag om inzicht te behouden in het functioneren van de
webomgeving en aanvallen hierop.
In Tabel 2 zijn de belangrijkste door Logius erkende risico’s per beveiligingsrichtlijn opgenomen.
Laag 0 - Algemene
beveiligingsrichtlijnen
Risico
B0-5 - Er kunnen ongeautoriseerde acties worden doorgevoerd of acties zijn onvoldoende op elkaar
afgestemd, waardoor de betrouwbaarheid van de IT-voorziening in het geding kan komen.
B0-6 - Bedoeld of onbedoeld negatief beïnvloeden van de ICT-componenten/platform/netwerkverkeer,
waardoor vertrouwelijkheid, integriteit en/of beschikbaarheid van de ICT-componenten niet
gegarandeerd is.
B0-7 - Technische en software kwetsbaarheden brengen stabiliteit en betrouwbaarheid van systemen in
gevaar.
B0-8 - Onbekendheid met bestaande kwetsbaarheden en zwakheden, waardoor hiertegen geen actie
ondernomen wordt.
B0-9 - Onvoldoende zicht op aanwezige kwetsbaarheden en zwakheden van ICT-componenten,
onvoldoende zicht op de effectiviteit van reeds getroffen maatregelen en onvoldoende
mogelijkheden om te kunnen anticiperen op de nieuwe dreigingen.
B0-12 - Door het ontbreken van toegangsvoorzieningbeleid kan er onduidelijkheid ontstaan bij het
toekennen van rechten aan gebruikers. Hierdoor kunnen niet-geautoriseerde gebruikers mogelijk
toegang krijgen tot informatie waarop zij geen recht horen te hebben.
- Onvoldoende beheersing van de toegang tot (een deel van) de functies in het ICT-landschap,
waardoor misbruik en/of rechten-escalatie mogelijk is.
- Gegevens worden ingezien, gewijzigd of verwijderd door individuen die hiervoor vanuit organisatie
geen toestemming, recht of opdracht hebben.
- Onvoldoende beheersing van de webapplicatie-omgeving, waardoor gebruikers het vertrouwen in
de dienstverlening verliezen en mogelijkheden voor misbruik ontstaan.
B0-13 - Oude websites kunnen enerzijds de dienstverlening aan de klanten negatief beïnvloeden en kunnen
anderzijds misbruikt worden.
B0-14 - Een (web)dienst waarvan de eigenschappen onduidelijk of onberekenbaar zijn, waardoor het
21. 15
gewenste beveiligingsniveau niet gehaald wordt en/of gebruikers onvoldoende vertrouwen in de
dienstverlening hebben.
Laag 1 – Netwerk
beveiligingsrichtlijnen
- Risico
B1-1 - Een aanvaller krijgt ongelimiteerd toegang tot het interne netwerk en de daarop aangesloten
systemen.
B1-2 - Een aanvaller krijgt ongelimiteerd toegang tot het interne netwerk en de daarop aangesloten
systemen.
- Door het ontbreken van afdoende afscherming kunnen gewone gebruikers beheerdersautorisaties
verwerven.
B1-3 - Een aanvaller krijgt mogelijkheden om de toegangsbeveiliging voor externe gebruikers te omzeilen.
Laag 2 – Platform
beveiliging
- Risico
B2-1 - Een aanvaller kan de controle over het platform of de webserver overnemen.
Laag 3 – Applicatie
beveiligingsrichtlijnen
- Risico
B3-1 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de
webapplicatielogica.
- De werking van de webserver of webapplicatie wordt gemanipuleerd, waardoor deze onder
controle komt van een aanvaller.
B3-2 - De werking van de webserver of webapplicatie wordt gemanipuleerd, waardoor deze onder
controle komt van een aanvaller.
B3-3 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de
webapplicatielogica.
B3-4 - Via uitvoer van de webapplicatie de werking van of informatie op het systeem van anderen
manipuleren.
B3-5 - Via manipulatie (bijvoorbeeld commando- of SQL-injectie) kennis nemen van de inhoud van de
onder- en achterliggende systemen of deze kunnen manipuleren.
B3-6 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de
webapplicatielogica.
B3-7 - Inzage, wijziging, verlies, of misbruik van gegevens door bijvoorbeeld manipulatie van de
webapplicatielogica.
B3-15 - Geen inzicht in de status van de operationele implementatie en beveiliging van ICT-componenten.
B3-16 - Lekken van informatie die op zichzelf waarde heeft of die voor verdere aanvallen gebruikt kan
worden.
Laag 3 –
Vertrouwelijkheid en
onweerlegbaarheid
- Risico
B5-1 - Het beheer van de cryptografische sleutels sluit niet aan bij het beschermingsbelang van de
beschermde gegevens, waardoor het beheer van de cryptografische sleutels niet doelmatig is.
B5-2 - Aansprakelijk gehouden worden voor onterechte mutaties of gegevensleveringen, terwijl een
andere partij verantwoordelijk is.
- Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn
mogelijk in staat deze te verminken.
B5-3 - Aansprakelijk gehouden worden voor onterechte mutaties of gegevensleveringen, terwijl een
andere partij verantwoordelijk is.
- Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn
mogelijk in staat deze te verminken.
B5-4 - Onbevoegden nemen kennis van gegevens die zijn opgeslagen of worden gecommuniceerd en zijn
mogelijk in staat deze te verminken.
Laag 3 – Monitoring,
auditing en alerting
- Risico
B7-1 - Via netwerkcomponenten of netwerkverkeer wordt vertrouwelijkheid, integriteit en/of
beschikbaarheid aangetast, zonder dat dit (tijdig) gedetecteerd wordt en zonder dat hierop
geacteerd kan worden.
- Tekortkomingen en zwakheden in de geleverde producten/diensten kunnen niet gesignaleerd
worden en herstel acties kunnen niet tijdig worden genomen.
B7-8 - Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven)
voldoen aan de doelstellingen.
B7-9 - Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering.
- Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven)
voldoen aan de doelstellingen.
TABEL 2: RISICO’S PER BEVEILIGINGSRICHTLIJN
22. 16
2.4 DIGID ICT-BEVEILIGINGSASSESSMENT
Om de genoemde beveiligingsrisico’s te mitigeren heeft de minister van Binnenlandse Zaken en
Koninkrijksrelaties de maatregel getroffen dat organisaties die gebruikmaken van DigiD hun
ICT-beveiliging, voor zover deze DigiD raakt, jaarlijks dienen te toetsen op basis van een ICT-
beveiligingsassessment. Elke organisatie is zelf verantwoordelijk voor het jaarlijks uitvoeren van
een ICT-beveiligingsassessment DigiD. De organisatie dient zelf vroegtijdig in actie te komen om
de juiste voorbereidende maatregelen te treffen ter voorbereiding op de uitvoering van het
assessment. Om uniformiteit in de uitvoering van de DigiD ICT-beveiligingsassessments te
waarborgen moet deze worden uitgevoerd door een Register EDP-auditor. Op 21 februari 2012
heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, het
NCSC en de Auditdienst Rijk de “Norm ICT-beveiligingsassessments DigiD” voor de inrichting en
uitvoering van de DigiD ICT-beveiligingsassessments vastgesteld. Sinds 2013 geldt deze
verplichting voor alle afnemers.
Op 9 juli 2014 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties een kamerbrief
gestuurd met de ontwikkelingen ten aanzien van DigiD. In het bijzonder over de voortgang van
de uitvoering van de ICT-Beveiligingsassessments DigiD en de stappen die worden gezet om
DigiD te versterken5. Kort samengevat geeft de minister aan dat:
► Het veiligheidsbewustzijn van publieke dienstverleners flink is toegenomen;
► Van de bijna 500 organisaties die zijn aangesloten op DigiD heeft niet één organisatie een
rapport waarbij er sprake was van een acuut beveiligingsrisico;
► In 5% van de gevallen was er, op basis van de auditresultaten, sprake van een hoog risico
waarbij de organisaties dit zo snel mogelijk moesten oplossen;
► Logius heeft nog geen aanleiding om het normenkader te wijzigen;
► De uiterste inleverdatum voor het assessmentrapport is in het vervolg vóór 1 mei. Daarbij
geldt tevens dat het assessmentrapport niet eerder dan 1 januari mag worden ingediend;
► Daarnaast is bepaald dat nieuwe afnemers van DigiD binnen 2 maanden na aansluiting op
DigiD een assessment dienen uit te voeren.
2.4.1 NORM ICT-BEVEILIGINGSASSESSMENTS DIGID
De ‘Norm ICT-beveiligingsassessments DigiD’ is gebaseerd op beveiligingsmaatregelen uit het
document ‘ICT-beveiligingsrichtlijnen voor webapplicaties’ van het National Cyber Security
Center 6 (hierna NCSC). Het document bestaat uit twee delen. Het document ‘ICT-
beveiligingsrichtlijnen deel 1’ bevat een beschrijving van de beveiligingsrichtlijnen op
hoofdlijnen. In deel 2 worden de maatregelen verder uitgewerkt en gedetailleerd. Het document
bestaat uit 59 beveiligingsrichtlijnen (zie Bijlage A) verdeeld over 7 deelgebieden die allemaal
gewaardeerd zijn volgens een classificatie Hoog, Midden en Laag. De beveiligingsrichtlijnen zijn
op de drie kenmerkingsaspecten van informatiebeveiliging gericht, namelijk beschikbaarheid,
integriteit en vertrouwelijkheid. Hiernaast zijn de beveiligingsrichtlijnen zo opgesteld dat ze als
norm gebruikt kunnen worden.
5 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2014/07/10/kamerbrief-over-
versterking-en-beveiliging-digid.html
6 Het NCSC draagt via samenwerking tussen bedrijfsleven, overheid en wetenschap bij aan het vergroten van de
weerbaarbaarheid van de Nederlandse samenleving in het digitale domein.
23. 17
Ook is beschreven dat de beveiligingsrichtlijnen door hun opzet breed toepasbaar zijn. Dit is als
richtlijn fijn om voor een breed spectrum aan dienstverlening toe te kunnen passen, maar als
toepassing voor de norm van DigiD te generiek.
De norm voor de DigiD ICT-beveiligingsassessment bestaat uit de richtlijnen met de hoogste
impact op de veiligheid van DigiD (oftewel geclassificeerd als hoog). Dit zijn 28 richtlijnen die
vervolgens verplicht zijn gesteld voor de DigiD assessment. Op 9 juli 2014 heeft de minister in
een brief7 aangekondigd dat het Beveiligingsnormenkader DigiD vooralsnog ongewijzigd blijft.
Gelet op het verloop van de eerste assessmentronde over het jaar 2013, hoeven de
assessmentrapporten niet meer voor het einde van het jaar ingediend te worden. Concreet
betekent dit dat men het rapport over 2014 pas na 1 januari 2015 en voor 1 mei 2015 moet
indienen. Dit komt mede door het feit dat in het jaar 2014 veel organisaties bezig zijn geweest
met het oplossen van de bevindingen uit het eerste assessment van 2013.
2.4.1.1 ONDERLIGGENDE MAATREGELEN
In deel 2 van de NCSC richtlijn vind ik naast een beschrijving van de beveiligingsrichtlijn ook de
onderliggende maatregelen van een beveiligingsrichtlijn oftewel een beschrijving van hoe men
aan de beveiligingsrichtlijnen kan voldoen. Per beveiligingsrichtlijn is beschreven wat de
onderliggende maatregelen zijn. Deel 2 beschrijft verder dat voor een geldige verklaring van
conformiteit met de Richtlijn, de webapplicaties moeten voldoen aan alle onderliggende
maatregelen voor alle beveiligingsrichtlijnen. De webapplicatie moet dus voldoen aan alle
onderliggende maatregelen voor alle 28 verplicht gestelde richtlijnen. In de volgende tabel geef
ik een voorbeeld van de onderliggende maatregelen van een willekeurige DigiD norm volgens
deel 2.
Beveiligings-
richtlijn
Beveiligingslaag Beschrijving van
beveiligingsrichtlijn
Onderliggende maatregelen
B7-9 Monitoring, auditing en
alerting
Governance, organisatie, rollen
en bevoegdheden inzake
preventie, detectie en response
inzake informatiebeveiliging
dienen adequaat te zijn
vastgesteld
Functies en verantwoordelijkheden voor de
informatiebeveiliging moeten zijn toegekend.
Er moet overeenstemming over de benodigde
methodologieën en processen worden bereikt.
Denk hierbij aan risicoanalyse en het
classificatiesysteem.
Er moet aantoonbaar follow-up worden gegeven in
casu verbeteringen worden
doorgevoerd indien log records op kwaadwillend
misbruik duiden, geïmplementeerde
maatregelen niet voldoen aan de gestelde eisen
en/of verwachtingen of tekortkomingen
opleveren.
TABEL 3: ONDERLIGGENDE MAATREGELEN VAN EEN DIGID BEVEILIGINGSRICHTLIJN
De bovengenoemde onderliggende maatregelen zou een IT auditor moeten beoordelen om een
totaaloordeel voor een beveiligingsrichtlijn te vellen. Aangezien de beveiligingsrichtlijnen breed
toepasbaar zijn zullen ook de onderliggende maatregelen breed toepasbaar zijn en te generiek
zijn voor DigiD. In Bijlage B is een tabel opgenomen met alle onderliggende maatregelen van een
beveiligingsrichtlijn voor de verplichte richtlijnen van DigiD.
Middels de bovengenoemde onderliggende maatregelen kan ik een antwoord geven op de
volgende deelvraag:
7 https://zoek.officielebekendmakingen.nl/dossier/26643/kst-26643-323?resultIndex=49&sorttype=1&sortorder=4
24. 18
Hoofdvraag 1. Welke onderliggende maatregelen zijn nodig om de beveiligingsrichtlijnen af te
dekken?
In hoofdstuk 3 zal ik dieper op deze vraag ingaan om te beschrijven welke onderliggende
maatregelen meer toepasbaar zijn voor de DigiD assessments.
2.5 HANDREIKING NOREA
Om de organisaties te ondersteunen bij de ICT-beveiligingsassessment voor DigiD, heeft de
Norea een handreiking gepubliceerd (Norea, Handreiking, 2012). In deze handreiking wordt een
toelichting gegeven op enkele formele aspecten bij de opdrachten inzake de DigiD-assessments.
Ook worden in de handreiking enkele aanbevelingen en suggesties voor de uitvoering van deze
opdrachten opgenomen, die ook zijn bedoeld om bij te dragen aan een eenduidige en consistente
interpretatie van de beveiligingsrichtlijnen. Als ik deze handreiking analyseer dan zie ik dat de
Norea een handreiking heeft verstrekt ten aanzien van het toepassingsgebied, de scope, een
nadere toelichting en een testaanpak (zie Bijlage C). De nadere toelichting en de testaanpak van
Norea geven niet voldoende specificatie mee om tot eenduidige en consistente oordelen per
beveiligingsrichtlijn te komen.
Norea heeft ook een rapportageformat toegevoegd. De RE’s (Register EDP-Auditor) die de
opdrachten uitvoeren en daarover moeten rapporteren aan het management van de DigiD
houder dienen deze toe te passen. De beveiligingsassessments moeten op basis van een
Assurance-opdracht conform Raamwerk en Richtlijn 3000 worden uitgevoerd (Norea,
Handreiking, 2012). Als ik het modelrapport bekijk dan stel ik vast dat de Norea bij de
verantwoordelijkheid van de auditor beschrijft dat de werkzaamheden gericht zijn op het geven
van oordelen per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van
Logius, over de opzet en het bestaan van de maatregelen gericht op de ICT beveiliging van de
webomgeving van de DigiD aansluiting (Norea, DigiD-assessment template assurancerapport,
2013). Als beperking geeft de Norea aan dat de ‘Norm ICT-beveiligingsassessments DigiD’ maar
een selectie is van beveiligingsrichtlijnen uit de “ICT-beveiligingsrichtlijnen voor webapplicaties”
van Nationaal Cyber Security Centrum (NCSC). Daarom zijn de auditors niet in staat om een
totaal oordeel te verschaffen omtrent de beveiliging van de DigiD-aansluiting. Ook beschrijft de
Norea dat de beoogde gebruiker en het doel van het rapport uitsluitend verstrekt is ten behoeve
van de betreffende organisatie en Logius. Dit omdat anderen, die niet op de hoogte zijn van de
precieze scope, aard en het doel van de werkzaamheden, de resultaten onjuist kunnen
interpreteren.
Eind 2014 heeft de Norea een bijeenkomst gehouden rondom DigiD ICT-
beveiligingsassessments8 . Tijdens deze bijeenkomst zijn de actualiteiten rondom DigiD
beveiligingsassessments besproken. Tevens zijn bepaalde onduidelijkheden in het normenkader
uitgebreid toegelicht. Dit heeft ertoe geleid dat de Norea begin 2015 in overleg met Logius en op
verzoek van VNG en VIAG de toelichting voor de IT-auditors bij de interpretatie van de
beveiligingsrichtlijnen op enkele punten heeft aangepast, waarmee de eenduidigheid van de
oordeelsvorming door RE’s is verbeterd. Bij enkele beveiligingsrichtlijnen zijn teksten
8
http://www.norea.nl/readfile.aspx?ContentID=81610&ObjectID=1238882&Type=1&File=0000042185_Bijeen
komst%20DigiD-assessments%202%20dec2014%20def.pdf
25. 19
toegevoegd of aangepast (in rood gemarkeerd)9. Ook het modelrapport is begin 2015 aangepast.
Belangrijkste aanpassingen in de rapportage template zijn:
► Vermelding van aansluitnummer en aansluitnaam.
► Een nieuwe bijlage C met een totaaloverzicht van de conclusies (inclusief Third Party
Mededelingen).
► Standaard lijst met beveiligingsrichtlijnen die bij de gebruikersorganisatie moeten
worden getoetst zijn B0-5, B0-12, B0-13, B0-14, B5-3 en B7-9. En een verplichte
toelichting indien wordt afgeweken.
► Onderscheid tussen de basistekst en de optionele teksten voor gebruik in verband met
TPM/Serviceorganisatie(s) is duidelijker aangebracht, d.m.v. grijze markering.
► De applicaties en de versie waarvoor een assessment geldt, moet duidelijk worden
vermeld.
► De oordelen per beveiligingsrichtlijn zijn ‘voldoet’ of ‘voldoet niet’ (zonder toevoegingen
zoals: voldoet deels). Bij ‘niet voldaan’ moet wel een toelichting worden gegeven waarom
niet is voldaan.
► Indien geen oordeel wordt gegeven over een beveiligingsrichtlijn die (redelijkerwijs) in
scope verwacht mag worden dient dit duidelijk te worden gemotiveerd.
► Op de voorpagina en in paragraaf 1.6 (bij ondertekening door RE) dient de datum
aanbieding rapport opgenomen te worden. In paragraaf 1.4 en 1.5 de datum van het
oordeel over opzet en bestaan.
► Het rapport met bijlage C is voor opdrachtgever en Logius. Het rapport met alle bijlagen
(A, B en C) is alleen voor de opdrachtgever.
2.6 CONCLUSIE LITERATUURSTUDIE
De literatuurstudie heeft een beter begrip gegeven van het te bestuderen onderwerp. In
paragraaf 2.1 heb ik vastgesteld dat DigiD in toenemende mate door overheidsorganisaties en
instanties in gebruik wordt genomen. Dat de DigiD applicatie gekenmerkt wordt als een
webapplicatie en dat deze vele kwetsbaarheden en bedreigingen kent. Ook heb ik vastgesteld dat
beveiligingsrisico’s leiden tot DigiD misbruik om fraude te plegen en dat het afbreuk kan doen
aan het vertrouwen dat gebruikers hebben in het systeem van DigiD. In paragraaf 2.4 heb ik
vastgesteld dat de minister van Binnenlandse Zaken en Koninkrijksrelaties een jaarlijkse
toetsing van de ICT-beveiliging als maatregel heeft getroffen om de genoemde
beveiligingsrisico’s te mitigeren. Ik heb vastgesteld dat de ‘Norm ICT-beveiligingsassessments
DigiD’ is gebaseerd op 28 beveiligingsmaatregelen uit het document ‘ICT-beveiligingsrichtlijnen
voor webapplicaties’ van het National Cyber Security Center. Ook beschrijft het NCSC de
onderliggende maatregelen die nodig zijn om de risico’s van de beveiligingsrichtlijnen af te
dekken. De beveiligingsrichtlijnen zijn door hun opzet breed toepasbaar, maar als toepassing
voor de norm van DigiD te generiek. In paragraaf 2.5 heeft de literatuurstudie ook aangetoond
dat de Norea een handreiking heeft gepubliceerd om organisaties te ondersteunen bij de
interpretatie van de ICT-beveiligingsassessment. Dit hebben ze gedaan door per
beveiligingsrichtlijn het toepassingsgebied, de scope, een nadere toelichting en een testaanpak te
beschrijven. Tot slot is vastgesteld dat de Norea periodiek bijeenkomsten organiseert om
onduidelijkheden in het normenkader toe te lichten en aan te passen in de handreiking.
9
http://www.norea.nl/readfile.aspx?ContentID=81610&ObjectID=1238882&Type=1&File=0000042366_Bijlage
%201%20HandreikingDigiD%20ICT-beveiligingsassessment%20voor%20RE%27s%202015.pdf
26. 20
3 SPECIFICERING VAN HET NORMENKADER EN TOEKENNEN
VAN WEGINGSFACTOREN
In dit hoofdstuk beschrijf ik de splitsing van welke onderliggende maatregelen minimaal
getroffen moeten worden (must haves) en welke onderliggende maatregelen zeer gewenst zijn
(should haves). Ook beschrijf ik welke wegingsfactoren worden toegekend aan de onderliggende
maatregelen van een beveiligingsrichtlijn die minimaal getroffen moeten worden (must haves)
om middels een hulpmiddel tot een consistente oordeelsvorming te komen.
3.1 SPLITSING
In de literatuurstudie heb ik vastgesteld wat de onderliggende maatregelen per
beveiligingsrichtlijn zijn voor de 28 verplichte beveiligingsrichtlijnen voor DigiD (zie paragraaf
2.4.1.1 en Bijlage D). Om vervolgens een goede splitsing te maken tussen de ‘must haves’ (MH)
en ‘should haves’ (SH) hanteer ik de volgende definities:
► MH maatregelen zijn de onderliggende maatregelen die minimaal getroffen moeten worden
om de doelstelling van de beveiligingsrichtlijn voor DigiD te behalen en het risico afdoende te
dekken. Als men voldoet aan deze maatregelen dan kan deze beoordeeld worden als ‘Voldoet’.
► SH maatregelen zijn de onderliggende maatregelen die zeer gewenst zijn, maar niet meer
heel veel toevoegen om de doelstelling te behalen en om het risico afdoende te dekken. Als men
naast de MH maatregelen ook voldoet aan deze maatregelen dan kan de richtlijn ook beoordeeld
worden als ‘Voldoet’. Het verschil met MH maatregelen is dat de richtlijn dan in plaats van een
rapportcijfer 6 een hoger rapportcijfer zou kunnen krijgen.
3.1.1 METHODIEK
Door gebruik te maken van meerdere bronnen heb ik geprobeerd om de subjectiviteit van de
onderzoeker te minimaliseren. De initiële splitsing van de maatregelen en de toekenning van de
wegingen is daarom gebaseerd op een literatuurstudie, een interview en ‘professional
judgement’.
1) Middels de literatuurstudie heb ik vastgesteld welke onderliggende maatregelen ten
grondslag liggen aan de richtlijnen.
2) Ter verificatie heb ik middels een interview met een DigiD deskundige de randvoorwaarden
om de initiële splitsing op te maken besproken. Het interview is uitgevoerd met een DigiD
deskundige die al 8 jaar werkzaam is als IT Auditor en momenteel werkzaam is als Director
bij een Big4 kantoor. Onder de advisory tak voert het bedrijf DigiD assessments uit. De
volgende randvoorwaarden zijn aan de hand hiervan opgesteld:
► De zogenoemde ‘practice based’ audit aanpak wordt gehanteerd. Dit betekent dat ik me
richt op de maatregelen die minimaal getroffen moeten worden om het risico van de
beveiligingsrichtlijn te mitigeren. Een inventarisatie van de risico’s per beveiligingsrichtlijn zijn
al beschreven in de literatuurstudie.
► De initiële splitsing zal gemaakt worden aan de hand van de professionele judgement van
de onderzoeker.
► Uitsluitend de onderliggende maatregelen die gedefinieerd zijn in de literatuurstudie
zullen gebruikt worden voor de initiële splitsing in MH en SH maatregelen.
27. 21
3) Hieronder is de uitvoering van de initiële splitsing beschreven die door de onderzoeker
zelfstandig is opgesteld.
3.1.2 UITVOERING
Doordat de DigiD beveiligingsassessment 28 beveiligingsrichtlijnen bevat, zal ik van een drietal
beveiligingsrichtlijnen aangeven hoe de splitsing tot stand is gekomen.
In onderstaande tabellen is per beveiligingsrichtlijn bepaald of het maatregel een ‘must have’ of
‘should have’ maatregel zou moeten zijn. Middels de kolom rationale is een toelichting gegeven
waarom een maatregel in een bepaalde categorie is geplaatst.
Beveiligingsrichtlijn Beschrijving van de beveiligingsrichtlijn
B-06 Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn
gehard tegen aanvallen.
Doelstelling
Het tot een minimum beperken van de kans dat onnodige faciliteiten op een systeem worden misbruikt.
Risico
Bedoeld of onbedoeld negatief beïnvloeden van de ICT-componenten / platform / netwerkverkeer, waardoor
vertrouwelijkheid, integriteit en/of beschikbaarheid van de ICT-componenten niet gegarandeerd is.
Maatregel beschrijving MH SH Rationale
Zorg voor een beschrijving van het
hardeningsproces en dat dit proces
effectief is geïmplementeerd.
x Door het beschrijven van een hardeningsproces is de
opzet vastgelegd van hoe de ICT-componenten van
DigiD beveiligd moeten worden met de meest
recente, relevante patches.
Zorg voor een actueel overzicht van de
hoogst noodzakelijke
netwerkprotocollen en dat dit overzicht
continue wordt onderhouden.
x Met deze inrichting heeft men een recent en compleet
overzicht van de protocollen van het DigiD systeem
om die tot een minimum te beperken.
Zorg voor een actueel overzicht van de
hoogst noodzakelijk services.
x Met deze inrichting heeft men een recent en compleet
overzicht van de services van het DigiD systeem om
die tot een minimum te beperken.
Zorg dat dit overzicht onderdeel is van
het proces wijzigingsbeheer.
x Met deze inrichting kan men wijzigingsvoorstel-
len en de eventuele doorvoering van wijzigingen op
overzichten controleren en beheren.
Zorg dat periodiek wordt getoetst of het
systeem voldoet aan het overzicht van
hoogst
noodzakelijke netwerkprotocollen.
x Met deze inrichting kan men een statusopname
uitvoeren; toetsen of de in productie zijnde ICT-
componenten niet meer dan vanuit het
ontwerp functies bieden.
Afwijkingen moeten worden
gedocumenteerd en geaccepteerd door
de eigenaar van de webapplicatie en
beveiligingsfunctionaris.
x Met deze inrichting kan men afwijkingen efficiënter
beheren.
TABEL 4: BEVEILIGINGSRICHTLIJN B-06 SPLITISING MH EN SH MAATREGELEN
Voor de beveiligingsrichtlijn rondom het hardeningsproces van ICT-componenten kan ik
concluderen dat er drie MH maatregelen zijn en drie SH maatregelen. Dit betekent dat voor deze
beveiligingsrichtlijn minimaal de MH maatregelen in opzet en bestaan ingericht moeten zijn om
te voldoen aan de beveiligingsrichtlijn.
28. 22
Beveiligingsrichtlijn Beschrijving van de beveiligingsrichtlijn
B-07 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een
patchmanagement proces doorgevoerd.
Doelstelling
Alle aanwezige software is tijdig voorzien van de laatste versies/patches om mogelijke uitbuiting van
kwetsbaarheden voor te zijn.
Op een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen een stabiel (veilig) systeem te creëren.
Risico
Technische en software kwetsbaarheden brengen stabiliteit en betrouwbaarheid van systemen in gevaar.
Maatregel beschrijving MH SH Rationale
Zorg voor een beschrijving van het
patchmanagementproces en dat dit
proces effectief is geïmplementeerd.
x Door het beschrijven van een
patchmanagementproces is de opzet vastgelegd van
hoe software van DigiD (componenten) tijdig
voorzien moeten worden van de laatste
versies/patches.
Er moet een procedure zijn ingericht
waarin staat beschreven hoe de
organisatie omgaat met updates.
x Met deze inrichting beschrijft men: hoe snel
implementeert de organisatie een kritieke patch,
welke stadia moet de patch doorlopen, wie draagt de
verantwoordelijkheid, et cetera?
Zorg dat configuratiebeheer is ingericht. x Met deze inrichting heeft men inzicht in
configuratiegegevens van de kritieke systemen en
applicaties.
Zorg voor een technische implementatie
van een updatemechanisme.
x Met deze implementatie zou men efficiënter updates
kunnen uitvoeren.
TABEL 5: BEVEILIGINGSRICHTLIJN B-07 SPLITISING MH EN SH MAATREGELEN
Voor de beveiligingsrichtlijn rondom het patchmanagementproces kan ik concluderen dat er
twee MH maatregelen zijn en twee SH maatregelen. Dit betekent dat voor deze
beveiligingsrichtlijn minimaal de MH maatregelen in opzet en bestaan ingericht moeten zijn om
te voldoen aan de beveiligingsrichtlijn.
Beveiligingsrichtlijn Beschrijving van de beveiligingsrichtlijn
B0-8 Penetratietests worden periodiek uitgevoerd.
Doelstelling
Inzicht krijgen en houden in de mate waarin een webapplicatie weerstand kan bieden aan pogingen om het te
compromitteren (binnendringen of misbruiken van webapplicatie).
Risico
Onbekendheid met bestaande kwetsbaarheden en zwakheden, waardoor hiertegen geen actie ondernomen wordt.
Maatregel beschrijving MH SH Rationale
Pentests worden niet alleen bij
nieuwbouw en bij grote wijzigingen
uitgevoerd, maar moeten periodiek
worden herhaald.
x Een pentest dient bij significante wijzigingen op de
DigiD applicatie uitgevoerd te worden om te testen
op nieuwe inbraaktechnieken.
Zorg voor een opdrachtomschrijving,
scopedefinitie, planning en
kwaliteitseisen.
x De opdrachtomschrijving, scopedefinitie, planning en
kwaliteitseisen zijn essentieel omdat hierin:
- een heldere onderzoeksvraag moet staan;
- het object van het onderzoek moet staan;
- aangegeven wordt dat er rekening gehouden
moet worden met periode en kwaliteits
aspecten.
29. 23
De resultaten van de pentest worden
vastgelegd in een rapportage. Waarbij
duidelijk is aangegeven welke
informatie de rapportage moet bevatten.
x Het is van belang dat de resultaten van een pentest
worden vastgelegd, zodat een IT auditor de resultaten
kan inzien.
Er moet aantoonbaar follow-up worden
gegeven in casu verbeteringen worden
doorgevoerd indien geïmplementeerde
maatregelen niet voldoen aan de
gestelde eisen en/of verwachtingen of
tekortkomingen opleveren.
x Een pentest rapportage bevat verbetervoorstellen en
deze worden gecommuniceerd met
verantwoordelijken / eigenaren van de systemen
waarin kwetsbaarheden en zwakheden gevonden zijn.
Er dienen daarom implementatie-acties en
systeemdocumenten aanwezig te zijn waaruit blijkt
dat de verbetervoorstellen opgevolgd zijn.
TABEL 6: BEVEILIGINGSRICHTLIJN B-08 SPLITISING MH EN SH MAATREGELEN
Voor de beveiligingsrichtlijn rondom de penetratietest kan ik concluderen dat er vier MH
maatregelen zijn en nul SH maatregelen. Dit betekent dat voor deze beveiligingsrichtlijn alle
maatregelen in opzet en bestaan ingericht moeten zijn om te voldoen aan de
beveiligingsrichtlijn.
De volledige tabel met de toegepaste splitsing is opgenomen in Bijlage D.
Middels de bovengenoemde splitsing kan ik een antwoord geven op de volgende deelvraag:
Hoofdvraag 2. Welke onderliggende maatregelen moeten minimaal getroffen worden (must
haves) en welke onderliggende maatregelen zijn zeer gewenst (should haves)?
3.2 WEGINGSFACTOREN
In de literatuurstudie heb ik vastgesteld dat het uitgangspunt voor de IT auditors als volgt is;
“per beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ van Logius wordt een
oordeel gevraagd”. Doordat er voor elke beveiligingsrichtlijn een ander aantal maatregelen ten
grondslag ligt (bijvoorbeeld voor B-06 zijn er drie MH maatregelen, B-07 zijn er twee MH
maatregelen en voor B-08 vier maatregelen) dient men een goede afweging te maken van welke
maatregelen een grotere impact hebben om het risico te mitigeren en welke in mindere mate.
Daarom geef ik de MH maatregelen een weging mee om een IT auditor een hulpmiddel te geven
in de vorm van een rekenmodel om een gedegen, onderbouwd en consistent oordeel per
beveiligingsrichtlijn van de ‘Norm ICT-beveiligingsassessments DigiD’ te kunnen geven.
“Een weging is een rekenkundige manier om van verschillende groepen (in deze scriptie spreek ik
over onderliggende maatregelen) uit een populatie (op beveiligingsrichtlijn niveau) die niet
evenredig vertegenwoordigd zijn, toch een algemeen gemiddelde te berekenen.”
Er bestaat namelijk een mogelijkheid dat niet alle of delen van onderliggende maatregelen of in
opzet of in bestaan aanwezig zullen zijn, maar dat het risico toch voldoende gemitigeerd wordt.
In zulke gevallen heeft men de mogelijkheid om de beoordeling te corrigeren met behulp van
een wegingscoëfficiënt door de meest belangrijkste onderliggende maatregelen een hogere
weging te geven. Hierbij is het wel belangrijk om te benoemen dat de weging als hulpmiddel
ingezet dient te worden door een IT auditor en deze niet leidend moet zijn in het eindoordeel
van de norm.
30. 24
3.2.1 METHODIEK
Omdat de toegekende wegingen meer als handvatten voor de IT auditor dienen en ik de weging
niet te complex wil maken, zal ik de wegingen onderverdelen in twee groepen.
1. Hoog impact om het risico te mitigeren
2. Laag impact om het risico te mitigeren
De IT auditors richten zich op het geven van oordelen per beveiligingsrichtlijn over de opzet en
het bestaan van de onderliggende maatregelen. Doordat ik opzet en bestaan ga beoordelen zal ik
in de weging hier ook rekening mee moeten houden. Het bestaan van een maatregel heeft meer
impact op het mitigeren van het risico dan het hebben van een opzet. Daarom zal bestaan een
hogere score krijgen als opzet. Dit leidt tot de volgende wegingstabel:
Impact Opzet score Bestaan score
Hoog impact 2 5
Laag impact 1 3
TABEL 7: WEGINGEN VOOR DE ONDERLIGGENDE MAATREGELEN
De onderliggende maatregelen met een hoge impact om het risico te mitigeren zullen een score 2
krijgen voor opzet en een score 5 voor bestaan als ze voldoen. De onderliggende maatregelen
met een lage impact om het risico te mitigeren zullen een score 1 voor opzet en een score 3 voor
bestaan krijgen als ze voldoen. Onderliggende maatregelen die niet voldoen in opzet/bestaan
krijgen de score 0.
Door gebruik te maken van meerdere bronnen heb ik geprobeerd om de subjectiviteit van de
onderzoeker te minimaliseren. De initiële toekenning van of een maatregel een hoge of lage
impact heeft op het risico van de beveiligingsrichtlijn is gebaseerd op een interview en
‘professional judgement’.
1) Middels hetzelfde interview als voor de splitsing heb ik ter verificatie de randvoorwaarden
om de initiële splitsing op te maken besproken met een DigiD deskundige. De volgende
randvoorwaarden zijn hierdoor opgesteld:
► De zogenoemde ‘practice based’ audit aanpak wordt gehanteerd. Dit betekent dat ik me
richt op de maatregelen die minimaal getroffen moeten worden om het risico van de
beveiligingsrichtlijn te mitigeren. Ik zal daarom alleen de MH maatregelen een weging geven.
► De initiële splitsing zal gemaakt worden aan de hand van de professionele judgement van
de onderzoeker.
► De onderliggende maatregelen zijn opgesplitst in opzet en bestaan voorafgaand de
toekenning van of een maatregel een hoge of lage impact heeft op de beveiligingsrichtlijn.
Mochten opzet en bestaan maatregelen niet goed of voldoende zijn geformuleerd dan zijn deze
tijdens deze stap gecorrigeerd.
2) Middels professional judgement is hieronder de toekenning van de initiële weging
beschreven die door de onderzoeker zelfstandig zijn toegekend.
3.2.2 TOEKENNING
Doordat de DigiD beveiligingsassessment 28 beveiligingsrichtlijnen bevat, zal ik van een tweetal
beveiligingsrichtlijnen aangeven hoe de toekenning van de weging tot stand is gekomen.
31. 25
In onderstaande tabellen is per beveiligingsrichtlijn bepaald of het maatregel een hoge of lage
impact heeft om het risico van de beveiligingsrichtlijn te mitigeren. Hierna geven we een
toelichting met waarom een maatregel in een bepaald categorie valt.
B-06 Maak gebruik van een
hardeningsproces, zodat alle ICT-
componenten zijn gehard tegen
aanvallen
Opzet Bestaan Impact Score
Opzet
Score
Bestaan
Zorg voor een beschrijving van het
hardeningsproces en dat dit
proces effectief is
geïmplementeerd en dat deze een
eigenaar heeft, een datum en
versienummer heeft, een historie
bevat, actueel is en geaccordeerd
op het juiste niveau.
Procesbeschrijving
ten aanzien van
hardeningsproces.
Procesbeschrijving is
geaccordeerd op het juiste niveau.
Stel vast dat het hardeningsproces
voor alle relevante ICT-
componenten geldt.
Stel vast dat voor één ICT-
component het proces is
uitgevoerd conform de opgestelde
procedurebeschrijving.
Hoog 2 5
Zorg voor een actueel overzicht
van de hoogst noodzakelijke
netwerkprotocollen en dat dit
overzicht continue wordt
onderhouden.
Procesbeschrijving
ten aanzien van het
actualiseren van
het overzicht van
de hoogst
noodzakelijke
netwerkprotocollen
.
Procesbeschrijving is
geaccordeerd op het juiste niveau.
Periodiek actualiseren van het
overzicht van de hoogst
noodzakelijke
netwerkprotocollen.
Laag 1 3
Zorg voor een actueel overzicht
van de hoogst noodzakelijk
services.
Procesbeschrijving
ten aanzien van het
actualiseren van
het overzicht van
de hoogst
noodzakelijk
services.
Procesbeschrijving is
geaccordeerd op het juiste niveau.
Periodiek actualiseren van het
overzicht van de hoogst
noodzakelijk services.
Laag 1 3
Totaal score 4 11
TABEL 8: BEVEILIGINGSRICHTLIJN B-06 INCLUSIEF WEGING
In de initiële splitsing heb ik vastgesteld dat er drie MH maatregelen zijn gedefinieerd voor de
beveiligingsrichtlijn B-06. De beveiligingsrichtlijn betreft het gebruik van een hardeningsproces
zodat alle ICT-componenten gehard zijn tegen aanvallen. Als ik naar de drie maatregelen van
deze beveiligingsrichtlijn kijk dan zie ik dat de eerste maatregel vereist dat een
hardeningsprocedure opgesteld moet zijn met een aantal criteria en dat deze in bestaan getoetst
moet worden. De tweede en derde MH maatregelen gaan over het proces van actualiseren van
overzichten van de hoogstnoodzakelijke netwerkprotocollen en services. Als ik naar de definities
van de maatregelen kijk en naar het risico van de norm dan is de eerste maatregel de meest
belangrijkste maatregel van de drie. Daarom kwalificeer ik deze maatregel als ‘hoog’ om het
risico te mitigeren. De eerste maatregel krijgt dan een weging van twee voor opzet en vijf voor
bestaan. De overige maatregelen worden gekwalificeerd als ‘laag’. Deze krijgen daarom een
weging van één voor opzet en drie voor bestaan.
B-07 De laatste
(beveiligings)patches zijn
geïnstalleerd en deze worden
volgens een patchmanagement
proces doorgevoerd
Opzet Bestaan Impact Score
Opzet
Score
Bestaan
Zorg voor een beschrijving van
het patchmanagementproces en
dat dit proces effectief is
geïmplementeerd.
Procesbeschrijving ten
aanzien van patch
management is
opgesteld voor servers,
De procesbeschrijving is
geaccordeerd op het juiste
niveau.
Stel vast dat één patch het
Hoog 2 5
33. 27
4 BEVINDINGEN VAN HET PRAKTIJKONDERZOEK
Dit hoofdstuk beschrijft het praktijkonderzoek van deze scriptie. Het doel van dit hoofdstuk is
het toetsen van de resultaten uit de voorgaande hoofdstukken. In de literatuurstudie is er
antwoord gegeven op deelvraag 1. Ik heb daarin vastgesteld wat de onderliggende maatregelen
per beveiligingsrichtlijn zijn. In de specificering van het normenkader en toekennen van de
wegingsfactoren heb ik antwoord gegeven op deelvragen 2 en 3. Daarin heb ik inzichtelijk
gemaakt welke maatregelen minimaal getroffen moeten worden per beveiligingsrichtlijn en
welke wegingsfactoren deze onderliggende maatregelen moeten hebben. Deze laatste
deelvragen zijn in het praktijkonderzoek nader uitgewerkt om tot onderbouwing en conclusies
te komen. Daarnaast is het doel van het praktijkonderzoek het opdoen van nieuwe inzichten.
Om de volledigheid en juistheid van de initiële splitsing van de onderliggende maatregelen te
valideren heb ik de initiële splitsing en weging laten beoordelen door interviews te houden met
deskundigen op het gebied van DigiD beveiligingsassessments.
4.1 INTERVIEW 1:
Het eerste interview is gehouden met de Norea. De Nederlandse Orde van Register EDP-Auditors
(NOREA) is de beroepsorganisatie van IT-auditors in Nederland. De organisatie is nauw
betrokken bij DigiD-beveiligingsassessments en heeft daarom een DigiD-werkgroep opgericht
die in overleg met Logius een handreiking en rapportageformat heeft opgesteld. Deze werkgroep
bestaat uit DigiD deskundigen die werkzaam zijn bij de Rijksauditdienst, Duijnborgh, EY en
Deloitte. Ik heb een director bij Deloitte en een senior auditor bij de Auditdienst Rijk bereid
gevonden om hun deskundige mening over de splitsing en weging te geven. Beiden hebben veel
ervaring op het gebied van informatiebeveiliging.
4.1.1 BEVINDINGEN
De director en de senior auditor adviseerden om het normenkader wel te verduidelijken, maar
niet volledig te specificeren. DigiD-assessments zijn namelijk volgens beide heren een goede
oefening in ‘rule based’ auditing. Logius en Norea hebben tijdens een van de
informatiebijeenkomsten, medio 2013, aangegeven dat de tekst van de richtlijn het uitgangspunt
van een oordeel dient te zijn (Norea, Bijeenkomst IT-auditors over DigiD-assessments, 2013). Dit
betekent dat als de auditor niet aantreft wat er in de richtlijn wordt gevraagd, dan luidt het
oordeel bij die richtlijn een ‘voldoet niet’. Volgens hen gaat deze aanpak tegen de Nederlandse
traditie in, omdat er eigenlijk meer ‘principle based’ wordt gewerkt en dus vooral wordt gekeken
of risico’s afdoende zijn afgedekt. Door de richtlijnen te specificeren middels de onderliggende
maatregelen en hier wegingsfactoren aan toe te kennen is de aanpak definitief ‘rule based’
aanpak. Voor een goed beeld van de feitelijke risico’s is een ‘rule based’ aanpak echter minder
geschikt.
Daarnaast geven ze aan dat de DigiD normenkaders over het algemeen niet geschikt is voor
wegingsfactoren. Bij de ene richtlijn definieer je twee onderliggende maatregelen en bij de
andere richtlijn definieer je acht onderliggende maatregelen. Om vervolgens goede
wegingsfactoren toe te kennen zal dit leiden tot veel complexiteit. Ook waken ze ervoor dat een
auditor altijd moet blijven nadenken over of risico’s van een richtlijn afdoende afgedekt zijn aan
de hand van de getroffen maatregelen. Wegingsfactoren toepassen om een totaaloordeel per
richtlijn op te maken zal leiden tot vinkwerk en niet zozeer tot het afdekken van de risico’s.
34. 28
Daarom adviseren beide heren om geen specificatie van de richtlijnen op te stellen, maar meer
een onderzoek naar onduidelijkheden in de richtlijnen uit te voeren en deze te verhelderen.
4.2 INTERVIEW 2
Het tweede interview is gehouden met een ervaren IT-auditor bij een IT Audit organisatie. Sinds
1994 beheert hij netwerken, Windows systemen, Unix systemen en doceert hij aan de Vrije
Universiteit. Van origine gestart binnen de informatica, maar momenteel ligt zijn primaire
interesse bij het verbeteren van de beveiliging binnen de IT-infrastructuur. Daarnaast is hij een
Qualified Security Assessor (QSA) voor de betaalkaarten industrie. De organisatie is in 2006
opgericht en een IT-Audit- en consultancybureau en heeft zich gespecialiseerd in
certificeringtrajecten en het behandelen van complexe IT-gerelateerde vraagstukken.
4.2.1 BEVINDINGEN
Met geïnterviewde persoon heb ik in een sessie uitgebreid gediscussieerd over de onderliggende
maatregelen per beveiligingsrichtlijn die ik in het definitieve concept van ons normenkader heb
opgenomen. Het resultaat van deze sessie is dat ik een aantal wijzigingen heb doorgevoerd in de
splitsing van de MH en SH maatregelen, een aantal maatregelen heb toegevoegd die nog niet in
het normenkader zaten en als laatste een aantal wijzigingen aangebracht in de wegingsfactoren
van de MH maatregelen.
Doordat de DigiD beveiligingsassessment 28 beveiligingsrichtlijnen bevat, zal ik van een tweetal
beveiligingsrichtlijnen aangeven welke wijzigingen zijn doorgevoerd. De overige wijzigingen
zullen te vinden zijn in Bijlage F.
B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een
patchmanagement proces doorgevoerd.
Voor deze norm is het een vereiste dat alle aanwezige software tijdig is voorzien van de laatste
versies en patches om de uitbuiting van kwetsbaarheden voor te zijn. De initiële splitsing in deze
norm is besproken en hier waren verder geen op- of aanmerkingen over. De meest significante
toevoeging tot het normenkader uit het interview is dat patch management onderdeel dient te
zijn van het wijzigingsbeheerproces. Dit is een efficiëntie slag omdat patch management
überhaupt onderdeel is van wijzigingsbeheerprocessen. Het is efficiënt om niet twee processen
naast elkaar in te richten. In het rekenmodel heb ik deze maatregel toegevoegd aan de patch
management beschrijving. Hierdoor is een specifieke weging voor deze maatregel niet van
toepassing.
B0-8 Penetratietests worden periodiek uitgevoerd.
Het is van belang dat de houder van de DigiD aansluiting inzicht krijgt en houdt in de mate
waarin een webapplicatie weerstand kan bieden tegen het binnendringen of misbruiken van de
webapplicatie. De onderliggende maatregel “Pentests worden niet alleen bij nieuwbouw en
wijzigingen uitgevoerd, maar moeten periodiek worden herhaald.” is verplaatst van SH naar MH.
Er duiken namelijk elke keer nieuwe kwetsbaarheden op die wellicht toegang tot de DigiD
webapplicatie geven of tot misbruik leiden. Daarom moet een periodieke pentest een MH
maatregel worden, omdat deze penetratietesten continu geupdate worden om te testen op
nieuwe kwetsbaarheden. Pentesten zijn echter wel kostbaar en daarom zou een jaarlijkse
controle voldoende zijn. Doordat tijdigheid ook een belangrijk onderdeel van de richtlijn is, heeft