Kwaliteitsanalyse van het DigiD normenkader Kwaliteitsanalyse van het DigiD normenkader Een analyse van het normenkader dat wordt gehanteerd bij het DigiD beveiligingsassessment. Nummer: 2006 24-03-2014 Auteurs Begeleiders Roland Swinkels, MSc 2514475 drs. Bart van Staveren, RE (VU) Tim Coenen, MSc 2525815 ing. Jacques Herman, RA RE (Deloitte) Voorwoord Deze scriptie is tot stand gekomen in het kader van de Postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Vanwege de grote betrokkenheid van ons kantoor bij het DigiD beveiligingsassessment stelden wij vragen bij de totstandkoming van het gehanteerde normenkader. Dit in samenspraak met de maatschappelijke relevantie van het beveiligingsassessment zorgde ervoor dat wij dit een geschikt onderwerp vonden om onze studie mee af te sluiten. Graag bedanken wij onze begeleiders ing. Jacques Herman, RA RE (Deloitte) en drs. Bart van Staveren, RE (Vrije Universiteit) voor hun begeleiding en ondersteuning bij de uitvoering van dit onderzoek en de totstandkoming van deze scriptie. Tevens bedanken wij drs. Rob Christiaanse (Vrije Universiteit) en dr. Joris Hulstijn (TU Delft) als zijnde sparring-partners met betrekking tot natuurlijke deductie en de meta-norm ‘relevantie’. I Samenvatting In Nederland wordt de digitale identiteit van burgers voor de communicatie met onder andere overheidsinstanties geverifieerd door de overheidsdienst DigiD. Om de beveiliging van de diensten die door middel van DigiD toegankelijk worden gemaakt te toetsen, is een specifiek normenkader opgesteld. In dit onderzoek is de kwaliteit van versie 1.0 van het DigiD beveiligingsassessment- normenkader onderzocht. Om de kwaliteit van normenkaders te kunnen beoordelen hebben wij de door NOREA gedefinieerde meta-normen verder geconcretiseerd en vervolgens hebben wij deze 5 meta-normen (objectiviteit; eenduidigheid; relevantie; herleidbaarheid; zorgvuldigheid) gehanteerd om een methode te ontwikkelen voor het beoordelen van normenkaders. Deze methode is vervolgens toegepast op het DigiD normenkader. Door het DigiD-normenkader te evalueren aan de hand van deze methode concluderen wij dat het DigiD beveiligingsassessment-normenkader slechts deels voldoet aan de kwaliteitseisen voor IT-audit normenkaders van NOREA. De specificiteit van normen kan vergroot worden door concreter aan te gegeven welke audit-objecten en acties relevant zijn en welke tijdslijnen hierbij in acht genomen dienen te worden. De herleidbaarheid van het normenkader is beperkt, waarbij wij constateren dat voornamelijk technische maatregelen sterk zijn vertegenwoordigd. Het normenkader besteedt onvoldoende aandacht aan het waarborgen van de authenticiteit en beschikbaarheid in het kader van de meta-norm zorgvuldigheid. Vanuit het oogpunt van maatschappelijk verantwoord IT-gebruik zijn dit essentiële aspecten. De relevantie van het normenkader als geheel dekt alle (door ons) geïdentificeerde risico’s en is daarom geschikt voor het beoogde doel. Aangezien bepaalde normen een lagere relevantiescore hebben kan overwogen worden om dergelijke normen achterwege te laten of deze te vervangen. II Inhoudsopgave VOORWOORD .................................................................................................................................. I SAMENVATTING ............................................................................................................................. II LIJST VAN FIGUREN ........................................................................................................................ V LIJST VAN TABELLEN ...................................................................................................................... V 1. INLEIDING ................................................................................................................................ 1 1.1 RELEVANTIE ............................................................................................................................................ 1 1.2 PROBLEEMSTELLING ................................................................................................................................ 1 1.2.1 Deelvragen ....................................................................................................................................... 2 1.3 ONDERZOEKSAANPAK ............................................................................................................................ 2 1.4 THEORETISCH KADER ............................................................................................................................. 2 1.4.1 Afbakening ....................................................................................................................................... 3 1.4.2 Variabelen ........................................................................................................................................ 3 1.4.3 Termen en concepten ...................................................................................................................... 3 1.4.3.1 Objectiviteit ............................................................................................................................................ 4 1.4.3.2 Eenduidigheid ........................................................................................................................................ 5 1.4.3.3 Relevantie ............................................................................................................................................... 5 1.4.3.4 Herleidbaarheid ..................................................................................................................................... 7 1.4.3.5 Zorgvuldigheid ....................................................................................................................................... 8 2. METHODE ............................................................................................................................... 10 2.1 OBJECTIVITEIT ...................................................................................................................................... 10 2.2 EENDUIDIGHEID .....................................................................................................................................11 2.2.1 Multi-criteria analyse...................................................................................................................... 11 2.2.2 Effectentabel ....................................................................................................................................1 1 2.3 RELEVANTIE .......................................................................................................................................... 12 2.4 HERLEIDBAARHEID ............................................................................................................................... 13 2.5 ZORGVULDIGHEID ................................................................................................................................. 14 2.5.1 Het proces van totstandkoming .................................................................................................... 15 3. CASE STUDY ............................................................................................................................ 16 3.1 OBJECTIVITEIT ...................................................................................................................................... 16 3.1.1 Specifiek .......................................................................................................................................... 16 3.1.2 Meetbaar ......................................................................................................................................... 17 3.1.3 Realistisch ....................................................................................................................................... 19 3.1.4 Tijdsgebonden ................................................................................................................................. 19 3.1.5 Multi-criteria analyse.................................................................................................................... 20 3.1.6 Beantwoording deelvraag .............................................................................................................. 21 3.2 EENDUIDIGHEID ................................................................................................................................... 22 3.2.1 Audit Objecten ............................................................................................................................... 22 3.2.2 Acties .............................................................................................................................................. 23 3.2.3 Tijdslijnen....................................................................................................................................... 24 3.2.4 Multi-criteria analyse.................................................................................................................... 25 3.2.5 Beantwoording deelvraag ............................................................................................................. 26 3.3 RELEVANTIE ......................................................................................................................................... 27 3.3.1 Risico identificatie ......................................................................................................................... 27 3.3.2 Relevantie berekening ................................................................................................................... 28 III 3.3.3 Beantwoording deelvraag ............................................................................................................. 29 3.4 HERLEIDBAARHEID .............................................................................................................................. 30 3.4.1 Gebruikte bronnen ......................................................................................................................... 30 3.4.2 Risicoanalyse ................................................................................................................................. 30 3.4.3 Hiaten.............................................................................................................................................. 31 3.4.4 Beantwoording deelvraag ............................................................................................................. 32 3.5 ZORGVULDIGHEID ................................................................................................................................ 34 3.5.1 Vertrouwelijkheid .......................................................................................................................... 34 3.5.2 Integriteit ....................................................................................................................................... 35 3.5.3 Authenticiteit ................................................................................................................................. 36 3.5.4 Beschikbaarheid............................................................................................................................. 36 3.5.5 Beantwoording deelvraag ............................................................................................................. 37 4. CONCLUSIE ............................................................................................................................. 39 4.1 BEANTWOORDING DEELVRAGEN .......................................................................................................... 39 4.2 BEANTWOORDING HOOFDVRAAG ........................................................................................................ 40 4.3 RELEVANTIE EN VERVOLG ONDERZOEK ................................................................................................. 41 4.4 REFLECTIE TIM COENEN ...................................................................................................................... 42 4.5 REFLECTIE ROLAND SWINKELS............................................................................................................. 42 LITERATUUR .................................................................................................................................. 43 BIJLAGEN ....................................................................................................................................... 44 APPENDIX A: NORMENKADER DIGID BEVEILIGINGSASSESSMENT ...................................................................... 44 APPENDIX B: LOGISCH BEWIJS VAN RELEVANTIE STELLING ................................................................................ 46 APPENDIX C: UITWERKING VAN METANORM OBJECTIVITEIT ............................................................................. 47 APPENDIX D: MULTI-CRITERIA ANALYSE BIJ METANORM OBJECTIVITEIT ........................................................... 55 APPENDIX E: UITWERKING VAN METANORM EENDUIDIGHEID .......................................................................... 57 APPENDIX F: MULTI-CRITERIA ANALYSE BIJ METANORM EENDUIDIGHEID ......................................................... 62 APPENDIX G: RELEVANTIEGRADEN DIGID NORMENKADER ............................................................................... 64 APPENDIX H: UITWERKING VAN METANORM HERLEIDBAARHEID ..................................................................... 65 APPENDIX I: UITWERKING VAN METANORM ZORGVULDIGHEID ........................................................................ 69 APPENDIX J: MULTI-CRITERIA ANALYSE BIJ METANORM ZORGVULDIGHEID ....................................................... 73 IV Lijst van figuren Figuur 1: Causaal model ....................................................................................................................................... 3 Figuur 2: Aspecten van herleidbaarheid............................................................................................................. 7 Figuur 3: Classificatie Specificiteit ..................................................................................................................... 17 Figuur 4: Classificatie Meetbaarheid ................................................................................................................. 18 Figuur 5: Classificatie Realisme .......................................................................................................................... 19 Figuur 6: Classificatie Tijdsgebondenheid ....................................................................................................... 20 Figuur 7: Slecht scorende normen op objectiviteit .......................................................................................... 21 Figuur 8: Classificatie Audit Objecten.............................................................................................................. 23 Figuur 9: Classificatie Acties ............................................................................................................................. 24 Figuur 10: Classificatie Tijdslijnen..................................................................................................................... 25 Figuur 11: Slecht scorende normen op eenduidigheid .................................................................................... 26 Figuur 12: Raamwerk beveiliging web applicaties ........................................................................................... 27 Figuur 13: Classificatie Vertrouwelijkheid ........................................................................................................ 35 Figuur 14: Classificatie Integriteit ..................................................................................................................... 35 Figuur 15: Classificatie Authenticiteit ............................................................................................................... 36 Figuur 16: Classificatie Beschikbaarheid .......................................................................................................... 37 Figuur 17: Multi-criteria analyse Zorgvuldigheid ............................................................................................ 37 Lijst van tabellen Tabel 1: Effectentabel metanorm Eenduidigheid ............................................................................................. 12 V 1. Inleiding Volgens de ‘e-Government Survey’ van de Verenigde Naties is Nederland, na Zuid-Korea, wereldleider op het gebied van ontwikkelingen en investeringen in digitale communicatie tussen de overheid en haar inwoners (United Nations. Department of Economic and Social Affairs, 2012). Dergelijke ontwikkelingen en investeringen bieden Nederland aanzienlijke efficiëntie- en flexibiliteitsvoordelen. Hier dient echter wel rekening te worden gehouden met de risico’s die gepaard gaan met het digitaal aanbieden van overheidsdiensten. In Nederland wordt de digitale identiteit van burgers voor de communicatie met onder andere overheidsinstanties geverifieerd door de overheidsdienst DigiD. Het vereist niet veel fantasie om voor te stellen wat een kwaadwillende zoal kan doen met uw belastinggegevens, uw kentekenbewijs, of na het digitaal maken van een afspraak bij de gemeente: uw identiteitsbewijs. Om de beveiliging van diensten die door middel van DigiD toegankelijk worden gemaakt te toetsen, is specifiek voor dit doel een normenkader opgesteld. Op basis hiervan dienen publieke organisaties die gebruik maken van de DigiD dienst zich uiterlijk voor eind 2013 te laten auditen. 1.1 Relevantie De ‘DigiD’ dienst is de laatste periode regelmatig onderwerp van gesprek geweest1: 8 januari 2014: ‘DigiD Amsterdammers gehackt’ 16 augustus 2013: ‘DigiD urenlang slecht bereikbaar door DDos-aanval’ 24 april 2013: ‘DigiD onbereikbaar door DDos-aanval’ 4 april 2013: ‘DigiD over paar jaar vervangen door fysieke pas’ 15 januari 2013: ‘DigiD volgens minister 'zo goed als het kan' 9 januari 2013: ‘DigiD onbereikbaar na lek’ 25 juli 2012: ‘Gemeenten nog niet klaar voor beveiligingstest’ 4 november 2011: ‘Veel gemeentesites nog niet veilig genoeg voor DigiD’ oktober 2011: ‘DigiD-fraude mogelijk door kwetsbare overheid sites’ Naar aanleiding van onder meer het ‘lektober’ schandaal2 en andere beveiligingsincidenten is begin 2012 door de toenmalige minister Spies bepaald dat DigiD-gebruikende organisaties jaarlijks een beveiligingsassessment uit dienen te voeren naar de veiligheid van hun DigiD dienstverlening (Minister Spies van Binnenlandse Zaken en Koninkrijksrelaties, 2012). Door Logius (de beheerorganisatie van DigiD) is gekozen voor een aantal beveiligingsrichtlijnen met betrekking tot web-applicaties, zoals opgesteld door het NCSC (Nationaal Cyber Security Centrum, 2012). Deze zijn verwerkt in het normenkader dat gehanteerd dient te worden bij het uitvoeren van het DigiD beveiligingsassessment, zie Appendix A: Normenkader DigiD beveiligingsassessment. 1.2 Probleemstelling Het DigiD beveiligingsassessment staat nog in de kinderschoenen en in het normenkader is qua effectiviteit, duidelijkheid en toegevoegde waarde nog ruimte voor verbetering mogelijk. Het doel van dit onderzoek is de kwaliteit te onderzoeken van versie 1.0 van het DigiD beveiligingsassessment- 1 Bron: Nu.nl 2 In oktober 2011 is van tientallen (lokale) overheidssites aangetoond dat ze grote beveiligingslekken bevatten. Het ‘lektober’ schandaal. 1 normenkader. Een tweede doel is het aandragen van punten ter verbetering met betrekking tot het DigiD beveiligingsassessment-normenkader. Door het huidige normenkader tegen het licht te houden wordt meer inzicht verkregen in hoe op uniforme en efficiënte wijze assurance gegeven kan worden over cyber security. De hoofdvraag die zal worden beantwoord is de volgende: In welke mate voldoet het DigiD beveiligingsassessment-normenkader aan de kwaliteitseisen voor IT-audit normenkaders van NOREA? Deze vraag bekijken wij vanuit het perspectief van de auditor. 1.2.1 Deelvragen Om deze hoofdvraag te kunnen beantwoorden beoordelen wij het normenkader op basis van een aantal meta-normen (kwaliteitseisen) die door NOREA zijn opgesteld. In december 2002 heeft NOREA het studierapport ‘Raamwerk voor ontwikkeling Normenstelsels en standaarden’ uitgebracht (NOREA, 2002). Hierin wordt een vijftal meta-normen beschreven waarmee de kwaliteit van normenkaders in het IT-audit vakgebied kan worden beoordeeld, zijnde: herleidbaarheid, zorgvuldigheid, relevantie, eenduidigheid en objectiviteit. Op basis van deze meta-normen hebben wij onze deelvragen geformuleerd. 1. Objectiviteit: Is het normenkader vrij van subjectiviteit bij het uitwerken van de normen? 2. Eenduidigheid: Zijn de normen helder geformuleerd en worden ze derhalve uniform geïnterpreteerd? 3. Relevantie: Is het DigiD beveiligingsassessment-normenkader geschikt voor het beoogde doel? 4. Herleidbaarheid: Hoe is het DigiD beveiligingsassessment-normenkader tot stand gekomen en kan worden vastgesteld waaraan normen zijn ontleend? 5. Zorgvuldigheid: Dienen de DigiD beveiligingsassessment-normen het maatschappelijke belang en is voldoende zorg besteed aan de totstandkoming van het normenkader? 1.3 Onderzoeksaanpak Het onderzoek bestaat uit drie delen: • Het eerste deel (paragraaf 1.4 Theoretisch kader) richt zich op het beschrijven van onze interpretatie van de meta-normen aan de hand van de literatuur. • Het tweede deel (hoofdstuk 2 Methode) richt zich op het ontwikkelen van een methode om de kwaliteit van een normenkader te toetsen aan de hand van de meta-normen en dit waar mogelijk te kwantificeren. • Het derde deel (hoofdstuk 3 Case study) richt zich op het toepassen van de ontwikkelde methode op het DigiD beveiligingsassessment-normenkader. Hierbij is het onderzoek te typeren als een kwalitatief toetsend onderzoek. 1.4 Theoretisch kader De theoretische basis die wij hanteren voor de opzet van dit onderzoek is voornamelijk gebaseerd op een publicatie van NOREA (Nederlandse Orde van Register EDP-Auditors) waarin meta-normen zijn gedefinieerd waarmee de kwaliteit van een IT-audit raamwerk kan worden getoetst (NOREA, 2002). De NOREA publicatie formuleert de vijf verschillende meta-normen als volgt: 1. Objectiviteit: de mate waarin normen(stelsels) vrij zijn van persoonlijke beïnvloeding; 2. Eenduidigheid: de mate van precisering en eenduidigheid van formulering; 2