Wij zijn |

Wat is een DigiD pentest

Icon van een DigiD pentest

Tegenwoordig geven steeds meer websites de mogelijkheid om via DigiD in te loggen. Oorspronkelijk is deze dienst in het leven geroepen om als burger digitaal te kunnen te identificeren bij de overheid. Hier kan gedacht worden aan onderwijsinstellingen, DUO en gemeenten. Het centraal regelen van de authenticatie voor deze websites brengt veel voordelen met zich mee en bevordert de veiligheid ervan.

Maar zoals bij veel voordelen kent het hier ook een nadeel. Afgelopen jaren is er een grote groei geweest aan DigiD-aansluithouders. En niet elke organisatie hanteert hetzelfde beveiligingsniveau voor haar webapplicaties. Dit is de aanleiding geweest om de beveiliging van deze koppelingen, inclusief webapplicatie, te toetsen aan de hand van een vooraf opgesteld normenkader. Dit wordt ook wel het DigiD-normenkader versie 3.0 genoemd.

Een DigiD pentest (ook wel DigiD penetratietest genoemd) is een onderdeel van het ICT-beveiligingsassessment DigiD. Het normenkader voor deze pentest is opgesteld door de beroepsorganisatie van IT-auditors, NOREA. Daarom wordt deze pentest soms ook een Norea DigiD pentest genoemd. Deze beveiligingsnorm is sinds 2013 van kracht en geeft DigiD-aansluithouders onder andere inzicht in hun weerbaarheid tegen hackaanvallen met als doel DigiD veilig te houden.

Waarom een DigiD pentest uitvoeren?

In 2011 heeft de minister van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) een brief naar de tweede kamer gestuurd. In deze brief stond dat meerdere gemeentelijke websites lekken bevatten en vatbaar waren voor hackaanvallen. Als reactie op deze lekken heeft de minister in 2012 met een brief toegezegd dat alle organisaties die gebruik maken van DigiD hun beveiliging jaarlijks dienen te toetsen aan de hand van een ICT-beveiligingsassessment. Het normenkader ICT-beveiligingsassessments voor de DigiD pentest is vastgesteld Norea.

Door het vereisen van een DigiD pentest houdt Logius toezicht en grip op de DigiD-koppelingen. Daarnaast geeft het DigiD-aansluithouders inzicht in hun weerbaarheidsniveau tegen hackaanvallen met als doel DigiD veilig te houden.

Wanneer een DigiD pentest uitvoeren?

Als uw organisatie gebruik maakt van een webapplicatie met een DigiD-koppeling dient u deze jaarlijks te onderwerpen aan een “ICT-beveiligingsassessment DigiD” door een RE-auditor. Een DigiD penetratietest is onderdeel van dit DigiD assessment. De DigiD pentest moet jaarlijks vóór 1 mei uitgevoerd zijn.

Hoe voor te bereiden op een DigiD pentest?

Als u voor de eerste keer een DigiD-pentest laat uitvoeren wordt het aangeraden om tijdig te beginnen. Daarnaast is het ook mogelijk om eerst een normale pentest uit te laten voeren, dit kan als oefentoets gezien worden. De DigiD-audit moet elk jaar voor mei afgerond zijn. Dit geldt voor alle organisaties met een DigiD-koppeling. Daardoor is er in de maanden voor mei vaak een grote vraag naar DigiD pentests en kunnen de pentestleveranciers deze vraag vaak moeilijk aan.

Daarnaast is het belangrijk om te weten dat de beveiligingsnorm “U/PW.03” afgelopen jaren is aangescherpt. Zo mag een Content-Security-Policy (CSP) geen gebruik meer maken van de attributen unsafe-inline (zonder nonce) en unsafe-eval. Daarnaast is de Referrer-Policy een verplichte configuratie geworden.

Wat is een ICT-beveiligingsassessment DigiD?

Om gebruik te mogen maken van een DigiD-koppeling stelt de DigiD-beheerorganisatie Logius eisen aan de beveiliging van de webapplicatie en de onderliggende infrastructuur. Deze eisen zijn samen met het NCSC (voorheen GOVCERT) geformaliseerd in een beveiligingsnorm. Dit DigiD normenkader is sinds 2013 van kracht en is in 2017 vernieuwd. DigiD-aansluithouders krijgen door het uitvoeren van een DigiD-assessment inzicht in hun weerbaarheid tegen hackaanvallen.

Wat is het verschil tussen het DigiD normenkader versie 1.0, 2.0 en 3.0?

Vanaf 1 augustus 2022 geldt het DigiD normenkader versie 3.0. Dit nieuwe normenkader is gebaseerd op de beveiligingsrichtlijnen voor webapplicaties van het NCSC uit 2015 in plaats van 2013. Dit betekent dat er nu 21 eisen worden gesteld aan de webapplicatie in plaats van de 28 eisen in versie 1.0 en de 20 eisen in versie 2.0. Deze nieuwe eisen zijn meer risicogericht en technisch ingrijpender dan de voorgaande eisen. Het normenkader DigiD assessment 3.0 van Logius kan op de volgende URL gevonden worden: https://logius.nl/diensten/digid/ict-beveiligingsassessments-digid/documentatie/norm-ict-beveiligingsassessments-digid

Ten behoeve van het DigiD assessment moet er tijdens de DigiD pentest bij de volgende beveiligingsnormen extra aandacht besteed worden: U/WA.03, U/WA.04, U/WA.05, U/PW.02, U.PW.03, U.PW.05, U.PW.07, U/NW.03, U/NW.05, U/NW.06, C.03, C.04 en C.09.

ICT-Beveiligingsrichtlijnen voor Webapplicaties van het NCSC

Het Nationaal Cyber Security Centrum (NCSC) heeft in 2015 het document “ICT-beveiligingsrichtlijnen voor webapplicaties” gepubliceerd. Deze richtlijnen kunnen organisaties als leidraad gebruiken voor het beveiligen van hun webapplicaties inclusief onderliggende netwerken. Dit document kunt u op de volgende URL raadplegen: https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties

Hoe kunnen wij u helpen?

QR Codes: Het onverwachte wapen in Device Code Phishing

Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.

read more

CORS: het belang van Cross-Origin Resource Sharing

Bij onze klanten zien we een toenemende implementatie van Cross-Origin Resource Sharing (CORS). Helaas constateren we ook een stijging in het aantal onveilig geconfigureerde CORS-implementaties. In deze blog duiken we dieper in wat CORS is, de meest voorkomende misconfiguraties en hun potentiële risico’s, en hoe je sterke CORS-regels kunt instellen om je webapplicaties te beschermen.

read more