… voor wie ?
makkelijke en toch veilige toegang
Matthijs Claessen
Nausikaä Efstratiades
Beurs Overheid & ICT 2012
Eric Brouwer
Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers) !
waarvan meer dan 6 miljoen werkenden in de private sector en ruim 1 miljoen in overheidsdienst (ambtenaren)
ca. 1 miljoen bedrijven ca. 900 overheidsorganisaties
Voor zowel publieke als private dienstverlening !
private diensten
publieke diensten
Het elektronische dienstverleningsproces dienst aanbieder dienst afnemer
1. ik wil deze dienst 3. ik ben “e-ID X”
identiteiten
autorisaties
2. dat kan, maar wie ben je ? 4. ik ga na wie “e-ID X” is 5. volgens de registratie ben je Eric 6. ik controleer Eric z’n autorisaties en machtigingen 7. welkom Eric, je mag de dienst afnemen , hier is ie !
De top 5 van risico’s en inefficiëntie te veel sleutels te weinig keuze van middel
GBA
privacy gewaarborgd? veilig?
onvoldoende beschikb voor bedrijf en ambtenaar
identiteiten
autorisaties
identiteiten
geen generieke voorziening voor ambtenaren 2 dure aparte voorzieningen
Zo ging dit bijvoorbeeld niet goed …. Matthijs Claessen, Logius
Minister van BZK, verantwoordelijk voor DigiD Minister Donner • Datum 11 oktober 2011 • Brief betreffende Lekken in een aantal gemeentelijke websites ₋ alle organisaties waarvan blijkt dat de ICT gecompromitteerd is per direct afkoppelen van DigiD ₋ weer aansluiten nadat hun ICT beveiliging (voor zover die DigiD kan raken) weer op orde is ₋ Alle DigiD gebruikende organisaties uiterlijk voor het einde van het eerste kwartaal van 2012 een ICT beveiligings-assessment Minister Spies • Datum 2 februari 2012 • Brief betreffende ICT-beveiligingsassessments DigiD gebruikende organisaties ₋ Gefaseerde aanpak, DigiD grootgebruikers in 2012, alle DigiD gebruikende organisaties in 2013.
Logius, beheerder van DigiD •
• •
• •
BZK directie Burgerschap en Informatiebeleid legt coördinatie bij Logius. Logius heeft samen met RAD, BZK/B&I en NCSC de aanpak, de richtlijn en de norm uitgewerkt. Logius onderhoudt een webpagina met informatie: http://www.logius.nl/producten/toegang/digid/documentatie/beveiliging/ Hier staat informatie over: • Norm • Toetsing • Scope toetsing • Deadline • Gemeenten • Stappen • Veelgestelde vragen • Contact • Documentatie (bijvoorbeeld pentest handreiking)
DigiD gebruikende organisaties Stappen voor het assessment 1. zelf toetsen aan de hand van de richtlijnen 2. maatregelen treffen 3. penetratietest uitvoeren 4. bevindingen penetratietest oplossen 5. audit uitvoeren 6. bevindingen naar Logius sturen Ondersteuning vanuit diverse partijen: Logius, KING, NCSC, NOREA Logius houdt contact met de andere partijen en zal documenten en resultaten waar toepasbaar beschikbaar stellen voor alle DigiD gebruikende organisaties. Meest tastbare traject loopt bij KING; de impact analyse.
KING start met impactanalyse •
Aanleiding: uitvoerbaarheid audits
•
In opdracht van BZK en VNG
•
Doel: gestandaardiseerde aanpak
•
Verwachten d.m.v. kennisdeling en bundelen audit en pentest-activiteiten efficiency te bewerkstelligen; besparing tijd en geld
•
Pilot met 10 gemeenten en hun leveranciers
•
Contacten met EDP auditors, pentesters, diverse CMS/Midoffice/formulieren/hosting-leveranciers
•
Planning: resultaten eind mei gevolgd door planning audits overige gemeenten.
Onderzoeksvragen impactanalyse • • •
• • •
Is de norm voor de assessments toepasbaar op gemeenten? Wat is de gemiddelde inspanning van de gemeente, van de leverancier en van de RE-auditor? Is een pentest per gemeente noodzakelijk of kan dat gecombineerd in samenwerking met de leveranciers? Wat is de uitkomst van de audits en de pentesten? Indien onvoldoende: hoe is dat door preventieve maatregelen bij gemeenten en leveranciers, of fasering onder controle te krijgen? Wat is de meest effectieve ondersteuning aan gemeenten en leveranciers door VNG/KING, Logius en NCSC om het proces binnen tijd, kwaliteit en middelen af te ronden?
Afbakening scope voor DigiD Audit • • • •
Het advies aan gemeenten is om de NCSC richtlijn zo breed mogelijk op te pakken, maar de audit beperkt zich tot de norm Logius geeft aan: de internet-facing webpagina's, infrastructuur die met DigiD gekoppeld is. Pentest richt zich met name op de frontoffice applicaties, 'is de voordeur goed op slot'? EDP audit richt zich ook wat breder op het beheer van het systeemlandschap 'staat de achterdeur niet open‘
Aanpak: • Gemeenten en auditors geselecteerd • 0-meting gedaan • Gemeenten aan de slag met 0-meting o.b.v. boodschappenlijstje • EDP-IT Auditors, pentesters en gemeenten nu gestart met de audit
WENS Een gemeenschappelijk, Nationaal stelsel voor: burger
autorisaties en machtigingen
identiteiten
authenticatiemiddelen
bedrijf
overheid
… en toch veilig !
… door deze balans … en een proces van audit en control.