Overheid rekt DigiD-beveiligingsdeadlines op
Gepubliceerd: Vrijdag 3 februari 2012
Auteur: Loek Essers
Na grote lekken bij DigiD bepaalde de minister dat voor april 2012 alle systemen grondig getest moeten zijn. Die deadline wordt niet gehaald. Gemeenten worden nu voor eind 2013 doorgelicht.
Begin oktober vorig jaar bleek een groot gedeelte van de Nederlandse gemeenten een gapend gat te hebben in DigiD-systemen, het systeem dat de overheid gebruikt om burgers digitaal hun zaken te laten regelen. Nadat dit werd ontdekt zijn veel gemeenten afgesloten van DigiD door toenmalig minister Donner. Hij beloofde voor april 2012 via assesments de beveiliging weer op orde te hebben.
Grootgebruikers
Zijn opvolger, minister Spies, schrijft nu aan de Tweede Kamer dat het onmogelijk is om de controles voor 1 april uit te voeren. "Omdat het belangrijk is te komen tot een duurzame richtlijn heeft dit zijn tijd gekost", schrijft Spies. "Verder heeft nader onderzoek laten zien dat de markt op deze termijn niet kan voldoen aan de benodigde expertise met betrekking tot de assessments en penetratietesten."
Onder andere de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) stellen dat "de benodigde aanpassingen en de doorlooptijd niet onderschat moet worden". Daarom kiest Spies voor een andere aanpak dan Donner. Grootverbruikers van DigiD moeten voor het eind van dit jaar zijn doorgelicht, andere organisaties hebben tot eind 2013. De deadline wordt dus of met 9 of met 21 maanden opgerekt.
Gemeenten voor eind 2013
Onder de grootverbruikers vallen organisaties als de Belastingdienst, DUO en UWV. Samen met Logius, beheerder van DigiD, wordt een traject gestart. "Het is ons streven om te komen tot een spoedige afronding van de assessments bij deze organisaties", zegt Spies.
De gemeenten vallen in de tweede categorie. "Voor gemeenten dient de eerste audit uiterlijk eind 2013 te zijn afgerond", stelt KING op zijn website. De assesments worden uitgevoerd met de ICT-Beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC) als basis.
Er wordt onder andere gekeken naar de veiligheid van de netwerken, het besturingsysteem, veiligheid van virusscanner en firewalls en applicatiebeveiliging. Er komt ook een penetratietest, waarbij door een beveiligingsbedrijf wordt geprobeerd in te breken bij de DigiD-systemen. De richtlijnen kunnen nog worden aangepast tijdens het proces en zijn terug te vinden op de site van NCSC.
