DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND
SAFEHARBOUR • Audit en Security – ISO 27001/ NEN7510 implementatie – Projectadvies
– Risicoanalyses
• Zorg en overheden
@djakoot @safeharbour_nl
WAAROM DIGID-AUDIT?
DAAROM DIGID-AUDIT
Sinds 2013 is er een wettelijke verplichting voor alle Digid gebruikende instellingen om een jaarlijkse audit te doen.
NORMERING DIGID-AUDIT norm: de ICT-beveiligingsrichtlijn voor web applicaties van het Nationaal Cyber Security Centrum (NCSC) – basisbeveiliging (virusscanner, firewall),
– besturingssysteem en – netwerk- en applicatiebeveiliging
WAT IS DE DIGID-AUDIT?
ITIL
PVA
Webapplicaties
Webserver
BELEID
PROCEDURES
SYSTEMEN
CONTROLES
Penetratietest Vulnerability scan User Management Logging
SCOPE VAN DIGID-AUDIT
SCOPE VAN DIGID-AUDIT
Nr B0-5 B0-6 B0-7 B0-8 B0-9
Beschrijving van de beveiligingsrichtlijn Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. Penetratietests worden periodiek uitgevoerd. Vulnerability assessments (security scans) worden periodiek uitgevoerd.
B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), B1-1 waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een B1-3 zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1
De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.
B3-2
De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft.
B3-3 B3-4
B3-6
De webapplicatie normaliseert invoerdata voor validatie. De webapplicatie codeert dynamische onderdelen in de uitvoer. Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde.
B3-7
De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting).
B3-5
B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen ‘HttpOnly’ en ‘Secure’. B5-1 B5-2 B5-3 B5-4 B7-1 B7-8 B7-9
Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Maak gebruik van versleutelde (HTTPS) verbindingen. Sla gevoelige gegevens versleuteld of gehashed op. Versleutel cookies. Maak gebruik van Intrusion Detection Systemen (IDS). Voer actief controles uit op logging. Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.
SCOPE VAN DIGID-AUDIT
28 normen
door Logius benoemd
18 normen
hosting leverancier
15 normen
Zorgportaal Rijnmond
• 10 applicaties • 5 organisaties
SCOPE VAN DIGID-AUDIT Zorgportaal Rijnmond • Governance • Change Management
• Webbeheer • Leveranciersafspraken • Versleutelen van vertrouwelijke gegevens
Nr B0-5 B0-6 B0-7 B0-8 B0-9
Beschrijving van de beveiligingsrichtlijn Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. Penetratietests worden periodiek uitgevoerd. Vulnerability assessments (security scans) worden periodiek uitgevoerd.
B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging/toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), B1-1 waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een B1-3 zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1
De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.
B3-2
De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft.
B3-3 B3-4
B3-6
De webapplicatie normaliseert invoerdata voor validatie. De webapplicatie codeert dynamische onderdelen in de uitvoer. Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde.
B3-7
De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting).
B3-5
B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen ‘HttpOnly’ en ‘Secure’. B5-1 B5-2 B5-3 B5-4 B7-1 B7-8 B7-9
Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Maak gebruik van versleutelde (HTTPS) verbindingen. Sla gevoelige gegevens versleuteld of gehashed op. Versleutel cookies. Maak gebruik van Intrusion Detection Systemen (IDS). Voer actief controles uit op logging. Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld.
HOE DOEN WE DE AUDIT?
Pre-audit (nulmeting) September 2013
Herstel op basis van bevindingen
Her-audit op incrementen
Eind-audit
December 2013
PRE-AUDIT
Pre-audit (nulmeting)
Herstel op basis van bevindingen
• Toets op de 5 organisatorische normen – Leverancierscontracten
• Penetratietest naar applicatienormen – Black box – Vanaf internet
• Technische Audit bij Intermax
Her-audit op incrementen
Eind-audit
PRE-AUDIT
Pre-audit (nulmeting)
Herstel op basis van bevindingen
Her-audit op incrementen
Bevinding
Risico
Verantwoordelijke
Geen afscherming contact formulier voor mail misbruik
Medium
Ontwikkelaar website(s)
Low
Ontwikkelaar website(s)
Medium
Ontwikkelaar website(s)
Httponly/Secure cookie flag niet overal gebruikt Cross Site Scripting lekken
Eind-audit
HER-AUDIT INCREMENTEN Deelopleveringen bij leverancierscontracten – Per aanlevering beoordeling – Eventueel laten aanpassen
Pre-audit (nulmeting)
Herstel op basis van bevindingen
Her-audit op incrementen
Eind-audit
AUDIT • Beoordeling van de stukken • Beoordeling techniek • Interviews – Opzet en bestaan
Pre-audit (nulmeting)
Herstel op basis van bevindingen
Her-audit op incrementen
Eind-audit
AUDIT RESULTAAT • 24 normen geslaagd – Intermax voldoet aan alle hosting gerelateerde normen (18)
• 4 verbeterpunten “audit vraagt niet om overall oordeel maar kans op een exploit is minimaal” Auditrapport ligt nu bij Logius ter beoordeling
AUDIT - BOUWWERK • Gebruik maken van elkaars resultaat • TPM Uw applicatie Digid-audit
TPM
www.safeharbour.nl Daan Koot
ICT Consultant / Auditor @djakoot
in
daankoot
