DigiD informatiebeveiliging

De Cyber Security Raad heeft namens de Minister van Veiligheid en Justitie eisen gesteld aan de beveiliging van DigiD. DigiD toegang wordt afgesloten indien hier niet adequaat aan voldaan wordt. Deze consequenties dreigen voor alle organisaties die niet tijdig voldoen aan de beveiligingsnorm. Deze norm dienen zij onafhankelijk te laten toetsen door een register EDP Auditor aangesloten bij de NOREA, aldus de ICT beheerder van de overheid, Logius.

Deze beheerder van de DigiD dienst heeft opdracht gekregen van de minister om overheidsorganisatie die niet (aantoonbaar) voldoen af te koppelen, met alle gevolgen (kosten, reputatie, etc.) van dien. Dit wordt een jaarlijkse terugkerende toets!

De specifieke beveiligingseisen die aan u en uw organisatie (mens, proces en techniek) worden gesteld als gebruiker van DigiD diensten, maar ook andere ICT diensten staan op http://www.logius.nl/digid. Deze eisen zullen moeten worden getoetst door een risico analyse te verrichten op u huidige situatie, om zo inzicht te krijgen in de specifieke risico’s en adequaatheid van de genomen maatregelen. Wij kunnen ons voorstellen dat dit een lastige opgave is gegeven de door de minister gestelde deadline en mogelijke consequenties. Daarnaast zijn wij van mening dat niet alle risico’s even zwaar per specifieke omgeving wegen, maar alleen een expert die conclusie kan vaststellen en onderbouwen.

Als organisatie van specialisten aangesloten bij de NOREA, en met een achtergrond bij de grote accountantskantoren, zijn wij juist in staat om op specialisme specifiek die risico’s en maatregelen in beeld te brengen op basis van het door de overheid vastgestelde normenkader. Als specialisten kunnen wij voor u inschatten wat het risico is wat uw organisatie nu loopt, welke maatregelen absoluut nodig zijn en een inschatting hoeveel tijd/investering dit voor u kan betekenen.

Uit onze ervaring is gebleken dat organisaties niet zomaar klaar zijn voor een ICT beveiligingsassessment zoals opgelegd door de minister. Om later niet in tijdsnood te komen met het risico dat de ICT beveiligingsassessment niet wordt voldaan stellen wij u voor om nu vast de vragen voor u zelf te beantwoorden die hiernaast staan aangegeven.

Ons is vaak gebleken dat bovenstaande vragen niet bevredigend beantwoord kunnen worden. Het is dan raadzaam om ons contact op te nemen. Wij kunnen u verder helpen naar inzicht en er voor zorgen dat uw ICT beveiligingsassessment geen verassingen op gaat leveren.

Omdat het niet stopt bij een verplichte assessment gaan wij desgewenst veel verder tot en met zogenaamde ‘legal hacking’ oplossingen waarbij specialisten de ‘vertrouwde’ omgeving onderwerpen aan uitdagingen die verder gaan dan de beschreven theorie?