Wij zijn |

Wat is een DigiD pentest

Icon van een DigiD pentest

Tegenwoordig geven steeds meer websites de mogelijkheid om via DigiD in te loggen. Oorspronkelijk is deze dienst in het leven geroepen om als burger digitaal te kunnen te identificeren bij de overheid. Hier kan gedacht worden aan onderwijsinstellingen, DUO en gemeenten. Het centraal regelen van de authenticatie voor deze websites brengt veel voordelen met zich mee en bevordert de veiligheid ervan.

Maar zoals bij veel voordelen kent het hier ook een nadeel. Afgelopen jaren is er een grote groei geweest aan DigiD-aansluithouders. En niet elke organisatie hanteert hetzelfde beveiligingsniveau voor haar webapplicaties. Dit is de aanleiding geweest om de beveiliging van deze koppelingen, inclusief webapplicatie, te toetsen aan de hand van een vooraf opgesteld normenkader. Dit wordt ook wel het DigiD-normenkader versie 3.0 genoemd.

Een DigiD pentest (ook wel DigiD penetratietest genoemd) is een onderdeel van het ICT-beveiligingsassessment DigiD. Het normenkader voor deze pentest is opgesteld door de beroepsorganisatie van IT-auditors, NOREA. Daarom wordt deze pentest soms ook een Norea DigiD pentest genoemd. Deze beveiligingsnorm is sinds 2013 van kracht en geeft DigiD-aansluithouders onder andere inzicht in hun weerbaarheid tegen hackaanvallen met als doel DigiD veilig te houden.

Waarom een DigiD pentest uitvoeren?

In 2011 heeft de minister van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) een brief naar de tweede kamer gestuurd. In deze brief stond dat meerdere gemeentelijke websites lekken bevatten en vatbaar waren voor hackaanvallen. Als reactie op deze lekken heeft de minister in 2012 met een brief toegezegd dat alle organisaties die gebruik maken van DigiD hun beveiliging jaarlijks dienen te toetsen aan de hand van een ICT-beveiligingsassessment. Het normenkader voor de DigiD pentest is vastgesteld Norea.

Door het vereisen van een DigiD pentest houdt Logius toezicht en grip op de DigiD-koppelingen. Daarnaast geeft het DigiD-aansluithouders inzicht in hun weerbaarheidsniveau tegen hackaanvallen met als doel DigiD veilig te houden.

Wanneer een DigiD pentest uitvoeren?

Als uw organisatie gebruik maakt van een webapplicatie met een DigiD-koppeling dient u deze jaarlijks te onderwerpen aan een “ICT-beveiligingsassessment DigiD” door een RE-auditor. Een DigiD penetratietest is onderdeel van dit DigiD assessment. De DigiD pentest moet jaarlijks vóór 1 mei uitgevoerd zijn.

Hoe voor te bereiden op een DigiD pentest?

Als u voor de eerste keer een DigiD-pentest laat uitvoeren wordt het aangeraden om tijdig te beginnen. Daarnaast is het ook mogelijk om eerst een normale pentest uit te laten voeren, dit kan als oefentoets gezien worden. De DigiD-audit moet elk jaar voor mei afgerond zijn. Dit geldt voor alle organisaties met een DigiD-koppeling. Daardoor is er in de maanden voor mei vaak een grote vraag naar DigiD pentests en kunnen de pentestleveranciers deze vraag vaak moeilijk aan.

Daarnaast is het belangrijk om te weten dat de beveiligingsnorm “U/PW.03” afgelopen jaren is aangescherpt. Zo mag een Content-Security-Policy (CSP) geen gebruik meer maken van de attributen unsafe-inline (zonder nonce) en unsafe-eval. Daarnaast is de Referrer-Policy een verplichte configuratie geworden.

Wat is een ICT-beveiligingsassessment DigiD?

Om gebruik te mogen maken van een DigiD-koppeling stelt de DigiD-beheerorganisatie Logius eisen aan de beveiliging van de webapplicatie en de onderliggende infrastructuur. Deze eisen zijn samen met het NCSC (voorheen GOVCERT) geformaliseerd in een beveiligingsnorm. Dit DigiD normenkader is sinds 2013 van kracht en is in 2017 vernieuwd. DigiD-aansluithouders krijgen door het uitvoeren van een DigiD-assessment inzicht in hun weerbaarheid tegen hackaanvallen.

Wat is het verschil tussen het DigiD normenkader versie 1.0, 2.0 en 3.0?

Vanaf 1 augustus 2022 geldt het DigiD normenkader versie 3.0. Dit nieuwe normenkader is gebaseerd op de beveiligingsrichtlijnen voor webapplicaties van het NCSC uit 2015 in plaats van 2013. Dit betekent dat er nu 21 eisen worden gesteld aan de webapplicatie in plaats van de 28 eisen in versie 1.0 en de 20 eisen in versie 2.0. Deze nieuwe eisen zijn meer risicogericht en technisch ingrijpender dan de voorgaande eisen. Het normenkader DigiD assessment 3.0 van Logius kan op de volgende URL gevonden worden: https://logius.nl/diensten/digid/ict-beveiligingsassessments-digid/documentatie/norm-ict-beveiligingsassessments-digid

Ten behoeve van het DigiD assessment moet er tijdens de DigiD pentest bij de volgende beveiligingsnormen extra aandacht besteed worden: U/WA.03, U/WA.04, U/WA.05, U/PW.02, U.PW.03, U.PW.05, U.PW.07, U/NW.03, U/NW.05, U/NW.06, C.03, C.04 en C.09.

ICT-Beveiligingsrichtlijnen voor Webapplicaties van het NCSC

Het Nationaal Cyber Security Centrum (NCSC) heeft in 2015 het document “ICT-beveiligingsrichtlijnen voor webapplicaties” gepubliceerd. Deze richtlijnen kunnen organisaties als leidraad gebruiken voor het beveiligen van hun webapplicaties inclusief onderliggende netwerken. Dit document kunt u op de volgende URL raadplegen: https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties

Hoe kunnen wij u helpen?

Stored XSS in BigBlueButton

Pentests.nl has discovered a vulnerability in BigBlueButton (version 2.4.7 and prior) which could be exploited to perform stored Cross-Site Scripting (XSS) attacks by sending private messages to users.

read more

Win een phishing simulatie

Pentests.nl bestaat vandaag precies 100 dagen en wie jarig is trakteert. Daarom geven we drie gratis phishing simulaties weg! Laat een bericht achter via LinkedIn of onze contactpagina, dan ontvangt u van ons een lotnummer. Volgende week dinsdag zullen we de winnende lotnummers bekendmaken.

read more