Onlangs heeft het Kwaliteitsinstituut Nederlandse Gemeenten (KING) haar impact- en risicoanalyse gepubliceerd over de voor gemeenten verplichte ICT-beveiligingsassessment DigiD. Alle Nederlandse overheidsorganisaties die DigiD gebruiken, dus niet enkel gemeenten, zijn verplicht om hun beveiliging te laten toetsen. Dit naar aanleiding van enkele incidenten en onderzoeken die vorig jaar hebben plaatsgevonden (bijvoorbeeld 'Lektober').
Het onderzoek houdt onder meer in dat er penetratietesten uitgevoerd worden door specialisten op dat gebied en dat IT-auditors hun goedkeuring moeten geven. De eerder dit jaar door Logius bekendgemaakte normen zijn daarbij leidend. De assessments zullen na de initiële uitvoering jaarlijks herhaald moeten worden.
KING benoemt een aantal belangrijke risico's, waaronder:
- Medewerking leveranciers bij het uitvoeren van de testen: ook van hen zal bepaalde openheid en medewerking noodzakelijk zijn, bijvoorbeeld als een audit zo diep gaat dat er sourcecode moet worden gecontroleerd. Volgens KING mag een dergelijke diepgaande controle enkel plaatsvinden als er sprake is van een hoog veiligheidsrisico;
- Selecteren partijen die de penetratietesten gaan uitvoeren. Dit blijkt een specialistisch vakgebied en naar schatting van KING zijn er slechts 200 van zulke testers aanwezig op de Nederlandse markt;
- De IT-auditors (EDP-auditors) zijn te druk rond het controleren van jaarrekeningen in het vierde kwartaal;
- Gemeenten komen te laat in actie zodat er geen tijd meer zou zijn de bevindingen van de toetsen te verwerken. KING adviseert dan ook om uiterlijk 2013 - Q2 het ICT-beveiligingsassessment te hebben uitgevoerd. Overigens geldt voor bestuursorganen die veel gebruik maken van DigiD dat ze in 2012 al de assessment moeten hebben afgerond.
Verder gaat KING ondersteuning bieden door bijvoorbeeld een model-vrijwaringsverklaring aan gemeenten aan te bieden. Daarmee verklaren zij geen schade, veroorzaakt door de penetratietesten, te verhalen op de partijen die de testen in opdracht van de gemeenten uitvoeren. Bij deze vrijwaring is het van belang ook de andere betrokken partijen, zoals hosters en softwareleveranciers, mee te nemen.
Het volledige rapport is te verkrijgen bij KING. Meer informatie ook op in een door KING ter beschikking gestelde FAQ.
