Hett ICT-BeveiligingsH ICT B ili i g assessment DigiD & Informatiebeveiliging
De aanleiding 2011: Diginotar 2011: Lektober
En ook:
2012: Dorifel 2012: Citadel 2013: DongIT Botnet
21 februari 2013
De reactie vanuit VNG/KING Starting Gateway onderzoek • Wat verwachten gemeenten van VNG/KING in dit soort situaties? Resultaat • KING zet, in opdracht van VNG een Informatiebeveiligingsdienst (IBD) op voor alle gemeenten BALV • In oktober heeft de BALV besloten voor generieke financiering Kwartiermakersfase • In samenwerking met het NCSC wordt het dienstverleningsaanbod van de IBD uitgewerkt
21 februari 2013
De missie van de IBD De IT- & informatie-gerelateerde veiligheidsincidenten die kunnen optreden bij gemeenten, in samenwerking met gemeenten,, partners g p en leveranciers bestrijden j en waar mogelijk g j voorkomen. Zowel als de gemeenten doelwit zijn van zulke incidenten of als de gemeenten worden gebruikt als bron of springplank voor incidenten elders. Hiermee versterkt de IBD de weerbaarheid van de gemeenten tegen ICT verstoringen en dreigingen.
21 februari 2013
De doelen van de IBD De Informatiebeveiligingsdienst heeft drie doelen: • het preventief en structureel ondersteunen van gemeenten bij het opbouwen b en onderhouden d h d van bewustzijn b t ij als l het h t gaatt om informatiebeveiliging. • het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. • het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging g g in de p praktijk j van alle dag g naar een hoger g plan te tillen.
21 februari 2013
Agenda 1 Informatiebeveiliging; van kaartenhuis tot 1. bunker? 2 Het ICT-Beveiligingsassessment DigiD 2. 3. De bevindingen 4 Het proces 4. 5. Het ondersteuningsaanbod 6 Vragen 6.
21 februari 2013
1. Informatiebeveiliging; van kaartenhuis tot bunker?
21 februari 2013
De producten en diensten van de IBD 1. Incident-detectie en -coördinatie • I.s.m NCSC • I.s.m. I s m leveranciers 2. Bewustwording • I.s.m. De interbestuurlijke Taskforce Bestuur en Informatieveiligheid Dienstverlening 3. • • •
Projecten Baseline Informatiebeveiliging gemeenten ICT Be eiligingsassessment DigiD ICT-Beveiligingsassessment Verlagen van de audit-last
21 februari 2013
2. Het ICT‐Beveiligingsassessment DigiD Jaarlijks assessment bestaande uit een audit en afhankelijk van de gemeentelijke ICT-infrastructuur uit één of meer penetratietesten: Penetratietest: bewuste hackaanval op de webapplicaties die gekoppeld zijn aan DigiD, met als doel de beveiliging van de webapplicaties te toetsen en te verbeteren. Deze pentesten worden uitgevoerd door de partij die de audit uitvoert dan wel door een specifieke penetratietest-partij Audit: onderzoek naar de organisatie van de informatiebeveiliging betreffende de webapplicaties met een DigiD-koppeling, uitgevoerd onder verantwoordelijkheid van een zogenaamde Register EDP-auditor (REauditor)
21 februari 2013
Wat is de impact op gemeenten?
21 februari 2013
Welke uitgangspunten kent het assessment? • • • • • • • •
Jaarlijks per gemeente 1 rapport per DigiD-aansluiting Ongeveer 600 DigiD-aansluitingen 408 gemeenten, 12 provincies, 25 waterschappen Ongeveer g 50 Front-Office & Hosting g leveranciers Ongeveer 400 Register EDP-auditors Ongeveer 200 Pentesters Afronding uiterlijk 31 december 2013
21 februari 2013
Waaruit bestaat de norm?
21 februari 2013
Wat houdt de norm in? Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. i
Software
Infra Beheer- en productieverkeer zijn van elkaar gescheiden.
21 februari 2013
structuur
Proces
Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd.
Wat is de scope? (1/2) Logius heeft de scope gedefinieerd als ‘de de internet internet-facing facing webpagina webpagina’s s, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het DigiD proces’. Voor elke DigiD aansluiting dient een separaat audit rapport te worden uitgebracht
De reikwijdte van de infrastructurele t t ((pentest test t t en vulnerability l bilit test) t t) is i h hett DMZ waarin de webservers zijn geplaatst via welke de ‘internet-facing’ webpagina’s p g met DigiD-koppeling g pp g worden aangeboden. Elke URL achter een DigiD login
De ICT infrastructuur van de gemeente moet goed in kaart worden gebracht
21 februari 2013
Wat is de scope? (2/2)
21 februari 2013
3. De bevindingen Documentatie • Status richtlijnen deel 1 en 2 • Breedte van de norm • Richtlijn NOREA Let L t op wijziging ij i i van rapportagevorm t
Wat/waar/wie/hoe ga je testen? • Welke DigiD-koppelingen? • Verdeling van de normen/partij • Scope • Audit versus pentest • Testomgevingen • Vrijwaringsverklaringen V ij i kl i
21 februari 2013
Leveranciers, auditors/pentesters; wat zijn de bevindingen? Auditors/pentesters • Beschikbaarheid • Regierol FO/Hosting-leveranciers / g • Meewerken • Kosten • Aanscherping richtlijn • Ketenverantwoordelijkheid
21 februari 2013
Gemeenten; wat zijn de bevindingen? • • • •
Verantwoordelijkheid voor informatiebeveiliging Vals gevoel van zekerheid Afwachtende houding Inspanning
21 februari 2013
Hoe bereiken we maximaal effect?
608 keer! Minimale inspanning gemeente
50 k keer!!
Maximaal effect
Leveranciers
Maximale voorbereiding KING/VNG
1 keer 21 februari 2013
In nfra
4. Het proces
Applicatie Leverancier
Hosting
!
N m Norm
Proces
Infra Software
21 februari 2013
SaaS
Intern
Leverancie er
Hoe ziet het proces eruit? Logius Stap 1
Logius Stap 2
Logius Stap 3
Logius Stap 4
Logius Stap 5
Self Assess ment
Oploss en
Pentest
Oploss en
Audit
Logius Stap 6
G Gemeenten
‘TPM’
Pentest Self Assess ment
Oploss en
21 februari 2013
Oploss en
Audit Rappor tage
? Pentest
Oploss en
Audit
Wat is het tijdspad van het assessment?
Q1‐Q2 2012 Voorbereiding
21 februari 2013
Afronden werkzaamheden/ audits bij leveranciers
Q3‐Q4 (Afronden) audits (Af d ) di bij gemeenten
Gemeenten sturen rapportage(s) naar Logius
Wat is het tijdspad van de IBD?
2012
Q1
Impactanalyse & Impactanalyse & ondersteunings‐ aanpak
IInventarisatie i i & Monitoring
21 februari 2013
Q2‐Q3 C Convenanten t & Monitoring
2014 Q4
‘‘nog een keer!’
Wat wil de IBD weten en waarom? • • • • •
Wie zijn Wi ij jullie j lli gemeentelijke t lijk kl klanten? t ? TPM wel/niet? Wanneer klaar? Welke applicaties gebruiken DigiD? In welke vorm? SaaS/Hosting? Wij blijven spammen
21 februari 2013
Wat verwacht de IBD? Van leveranciers? • Pro-activiteit Pro activiteit • Tijdig gereed zijn • Maximale ondersteuning • Verantwoordelijkheid V t d lijkh id ketenpartners k t t • Tekenen convenant • Samenwerken Van auditors/pentesters? • Regie en coördinatie • Maximale ondersteuning • Pragmatische insteek • Tijdig gereed zijn
21 februari 2013
5. Het ondersteuningsaanbod
Uitgangspunt 1:
Bewustwording van het belang van informatiebeveiliging
21 februari 2013
Uitgangspunt 2: Ondersteuning van gemeenten bij de voorbereiding op het jaarlijks assessment
Uitgangspunt 3:
Behalen van efficiëntieslag bij leveranciers (TPM’s)
Het ondersteuningsaanbod 2013 • Draaiboek en templates • Ondersteuning: 1e lijns community 2e lijns helpdesk IBD 3e lijns NCSC en Logius via IBD • Monitoring • Bewustwording • M di t Mediatorrol l
21 februari 2013
Het draaiboek
Stap 1 Zelf toetsen aan de hand van richtlijnen j
Stap 2 Maatregelen treffen
21 februari 2013
Stap 3 Penetratietest uitvoeren
Stap 4 Bevindingen penetratietest oplossen p
Stap 5 Audit uitvoeren
Stap 6 Bevindingen naar Logius sturen
Het draaiboek: stap 1, zelf toetsen Stap 1 Zelf toetsen aan de hand van richtlijnen
Stap 2 Maatregelen treffen
Stap 3 Penetratie test uitvoeren
Stap 4 Bevindingen penetratie test oplossen
Zelf toetsen: a. Checklist scope p omgeving in kaart brengen (template 1) b. Checklist richtlijnen b richtlijnen inventariseren (template 2) c. Quickscan samen met auditor vervolg vaststellen (TPM’s)
21 februari 2013
Stap 5 Audit uitvoeren
Stap 6 Bevindingen naar Logius sturen
Het draaiboek: stap 2, maatregelen Stap 1 Zelf toetsen aan de hand van richtlijnen
Stap 2 Maatregelen treffen
Stap 3 Penetratie test uitvoeren
Stap 4 Bevindingen penetratie test oplossen
Stap 5 Audit uitvoeren
Stap 6 Bevindingen naar Logius sturen
Maatregelen treffen: a Verbeterplan a. Hoe en wanneer ga ik aan de richtlijn voldoen b. Noodzakelijke maatregelen De hoge risico punten meteen oppakken Laaghangend fruit natuurlijk ook! c. Planning g Bepaal samen met de auditor welke stappen en werkzaamheden door welke partij moeten worden uitgevoerd
21 februari 2013
Het draaiboek: stap 3, pentest Stap 1 Zelf toetsen aan de hand van richtlijnen
Stap 2 Maatregelen treffen
Stap 3 Penetratie test uitvoeren
Stap 4 Bevindingen penetratie test oplossen
Stap 5 Audit uitvoeren
Penetratietest uitvoeren: Pentester selecteren Vrijwaringsverklaring opstellen Pentest uit laten voeren en rapportage op laten stellen
21 februari 2013
Stap 6 Bevindingen naar Logius sturen
Het draaiboek: stap 4, oplossen Stap 1 Zelf toetsen aan de hand van richtlijnen
Stap 2 Maatregelen treffen
Stap 3 Penetratie test uitvoeren
Stap 4 Bevindingen penetratie test oplossen
Stap 5 Audit uitvoeren
Stap 6 Bevindingen naar Logius sturen
Bevindingen oplossen: a. Intern Voeg de op te lossen bevindingen toe aan het verbeterplan Los de noodzakelijke j bevindingen g op p b. Extern Maak afspraken met de leveranciers wanneer zij bevindingen hebben opgelost
21 februari 2013
Het draaiboek: stap 5, audit Stap 1 Zelf toetsen aan de hand van richtlijnen
Stap 2 Maatregelen treffen
Stap 3 Penetratie test uitvoeren
Stap 4 Bevindingen penetratie test oplossen
Stap 5 Audit uitvoeren
Audit uitvoeren: a. Uitvoering Selecteer een auditor Laat een audit uitvoeren en een rapportage opstellen L t op dit kan Let k pas als l de d TPM’s TPM’ beschikbaar b hikb zijn ij b. Evaluatie resultaten lt t van h hett ttraject j t resultaten van het proces
21 februari 2013
Stap 6 Bevindingen naar Logius sturen
Het draaiboek: stap 6, opsturen Stap 1 Zelf toetsen aan de hand van richtlijnen
Stap 2 Maatregelen treffen
Stap 3 Penetratie test uitvoeren
Opsturen: Stuur S de d bevindingen b i di naar Logius L i
21 februari 2013
Stap 4 Bevindingen penetratie test oplossen
Stap 5 Audit uitvoeren
Stap 6 Bevindingen naar Logius sturen
De bijlagen IBD • Template: • Template: • Template: • Template:
overzicht DigiD aansluitingen en betrokken partijen documentatie proces assessment voorbeeld contractafspraken informatiebeveiliging format vrijwaringsverklaring
Logius/NOREA g / • Aanbevelingen en selectiecriteria penetratietest (versie 1.0) • Template: standaard opdrachtformulier uitvoering ICTBeveiligingsassessment DigiD • Template: format auditrapportage • Guidance
21 februari 2013
6. Vragen?
21 februari 2013
