fbpx

Laat uw DigiD-aansluiting op tijd toetsen aan de hand van een pentest

Heeft u als organisatie een DigiD-aansluiting, dan moet u ieder jaar voldoen aan de wettelijk verplichte DigiD-beveiligingsnorm van Logius. Deze beveiligingsnorm geldt sinds 2017 en zorgt ervoor dat het gebruik van DigiD als authenticatiemiddel veilig en betrouwbaar is.

Dit betekent praktisch dat een organisatie ieder jaar een ICT-beveiligingsassessment DigiD moet laten uitvoeren, aldus Leonie Bourgondiën, die werkzaam is bij Ordina’s Cybersecurity & Compliance. “Dit assessment vindt plaats op basis van een IT-audit en een pentest, waarna de organisatie de IT-auditrapportage aanlevert bij Logius die toezicht houdt op het tijdig naleven van de assessmentplicht en de assessmentrapportage beoordeelt. Een organisatie kan de rapportage vanaf 1 januari tot uiterlijk 1 mei 2021 indienen bij Logius.”

Op tijd beginnen

Om te voorkomen dat Logius de DigiD-aansluiting deactiveert, is het volgens Leonie verstandig om op tijd met de assessment te beginnen. “Ordina kan organisaties hierbij snel helpen en controleren of ze hun IT-processen goed op orde hebben en dat er geen kwetsbaarheden zijn. Wij hebben een ruime ervaring met deze assessments en voeren DigiD-pentesten uit voor onder meer verschillende Nederlandse Rijksoverheidsorganisaties. Daarbij kijken we naar de veiligheid van de koppeling, de webapplicaties en de infrastructuur eromheen.”

Uitgebreide pentest

Voor de DigiD-pentest test Ordina uitgebreider dan het Logius DigiD-normenkader voorschrijft. “Wij testen op basis van het normenkader dat we gebruiken voor onze reguliere pentesten. Dat is diepgaander. Als je dan toch test, kun je het beter gelijk goed doen. We rapporteren wel op basis van het DigiD-normenkader, waarin duidelijk staat aangegeven welke bevindingen bij welk onderdeel van het normenkader horen. Dat laatste maakt het voor de auditor ook makkelijker om te beoordelen, waardoor zijn audit-efficiëntie omhoog gaat.”

Findings en hertest

Afhankelijk van de complexiteit van een webportal of de applicatie heeft Ordina voor zo’n pentest één tot twee weken nodig, maar dan heeft een organisatie ook goed inzichtelijk wat de bevindingen zijn en waar de eventuele verbeteracties liggen. Pentesten vinden plaats op de acceptatieomgeving en bevindingen worden gevalideerd op de productieomgevingen. Eventuele bevindingen moeten wel eerst worden opgelost, voordat er een hertest kan worden uitgevoerd. Als die hertest goed verlopen is, kan het uiteindelijke rapport naar Logius. Als de organisatie daar prijs op stelt kan Ordina ook ondersteuning bieden bij de audit.

Periodieke pentesten

Deze jaarlijkse DigiD-pentest is een momentopname en geeft alleen aan hoe het op dat moment is gesteld met de beveiliging van een organisatie. Volgens Leonie zou het idealiter beter zijn als een organisaties hun configuratiemanagement goed borgen en werken op basis van secure softwaredevelopment. “Eigenlijk moet een organisatie naar een cadans toe, waarbij je periodiek en kleinschalig gaat pentesten, want daardoor heb je sneller en beter inzicht hoe je organisatie er op securityniveau voorstaat. Op basis van deze kleine pentesten ontstaat er een lerend vermogen, waardoor je als organisatie steeds veiliger wordt. Dat zorgt er ook voor dat de jaarlijkse DigiD-pentest weinig tot geen problemen zal geven omdat de zaken beter op orde zijn.”

Contact

Wilt u uw DigiD-aansluiting laten pentesten, neem dan contact op met Leonie Bourgondiën van Ordina.