De DigiD-audit
Artikel is in ontwikkeling en zal vast en zeker aangepast worden...
Wat is de DigiD audit en waarom hebben we die?
DigiD wordt tegenwoordig door vrijwel iedereen meerdere malen per jaar gebruikt om in te loggen op websites van de overheid en verschillende gerelateerde instanties. Denk aan gemeenten, zorgverzekeraars, pensioenverzekeraars, DUO en onderwijsinstellingen, ziekenhuizen en verschillende andere websites waar wettelijk gedefinieerde diensten worden aangeboden. Het is inmiddels een flinke lijst met websites en voor zowel ons, de burger, als de websites is het gebruik van DigiD uiterst praktisch. In mijn blogserie op cqure heb ik al diverse punten van kritiek op de overheidsinitiatieven met betrekking tot de burgeridentiteiten laten vallen, maar zo schreef ik ook dat ik wel blij met met DigiD (met uitzondering van het ontbreken van een goede verificatie van mijn identiteit bij de uitreiking daarvan, maar, soit).
Maar niet elke website staat natuurlijk inloggen met DigiD toe. Ten eerste moet het (wettelijk gezien) mogen, maar ten tweede eist de DigiD identity provider, in de persoon van Logius, als beherende entiteit, dat een website waarop iemand met DigiD kan inloggen, veilig is. En dat moet jaarlijks worden aangetoond via een DigiD assessment.
Het Probleem
Op dit moment zijn er ongeveer 800 aangesloten instanties (inclusief verschillende servicebureaus die voor enkele honderden kleinere organisaties, zoals apotheken, een aansluiting hebben). Dat is nogal wat. En elk van deze partijen moet dus jaarlijks een assessment ondergaan en het resultaat doorsturen naar Logius. Daar worden de rapporten beoordeeld. Dat is een aardig feest, ik kan me zo voorstellen dat instanties, auditors (Register EDP auditors) en Logius medewerkers er nogal wat tijd aan spenderen. En waarmee dus aanzienlijke kosten gemoeid zijn.
De DigiD audit is cruciaal. Maar waar komt die nou vandaan? Hoe zit het met DigiD?
DigiD en federatie
DigiD is de nationale digitale identiteit van burgers. Met die identiteit kan iemand toegang krijgen tot een website, zonder daar een account te moeten hebben. Dit fenomeen heet Federatieve toegang. Federatie, oftewel een aanbieder van (applicatie)services, vertrouwt op identiteiten van derde partijen.
Daardoor hoeft de aanbieder van diensten, de Service Provider (SP), geen identiteiten en accounts meer te beheren. Het enige wat de SP moet doen, is aangeven van welke identiteitenprovider gebruikers wordt toegestaan om de diensten te gebruiken. Dat doet een service provider (SP) feitelijk door een afspraak te maken met de identity provider (IdP). De SP wil immers wel weten of de identiteiten die via de IdP toegang krijgen wel betrouwbaar zijn. En daarbij wil de SP ook wel weten of de IdP betrouwbaar is. Zowel voor wat betreft de techniek, als voor wat betreft het beheer van identiteiten. Voorbeeld: Facebook is techisch gezien een prima IdP, maar het beheer van identiteiten (aanmaak, verwijderen, beheren van de gegevens) voldoet wellicht niet aan het kwaliteitsniveau dat je als SP vereist. En een belangrijke conclusie: Als de IdP niet betrouwbaar is, dan zijn de identiteiten van de IdP niet betrouwbaar.
In de relatie tussen SP en IdP is het dus **de SP die de kwaliteitseisen stelt** waaraan een IdP en de onderhavige identiteiten moeten voldoen. De SP zal willen weten of het instroomproces en het uitstroomproces in orde is, of het securityniveau van de IdP wel op orde is (is de IdP bijvoorbeeld ISO27K compliant) en de SP zal misschien ook wel een recht op audit willen bedingen. En ultiem zal de SP de mogelijkheid willen hebben om de relatie te beëindigen, door toegang voor identiteiten van de betreffende IdP te weigeren. **In federaties is de Service Provider, oftewel de leverancier van services en processen, de eisende partij**. De IdP moet volgen, de identiteiten van de IdP willen immers gebruik maken van de diensten van de SP, dus onder de condities van de SP.
Stelt de IdP in deze relatie ook eisen aan de SP?
Jazeker. De IdP stelt immers, binnen de consent-afspraken met de personen van wie de gegevens worden verwerkt, identiteiteninformatie, persoonsgegevens, beschikbaar aan de SP. Als het gaat over persoonsgegevens, moet de IdP voldoen aan de privacywetgeving. De toezichthouder ziet erop toe en misschien moet op grond van deze wetgeving een verwerkersovereenkomst met de SP worden opgesteld. Maar daar blijft het ook bij, de IdP kan niet zomaar even gaan controleren of de SP op een betrouwbare manier omgaat met de persoonsgegevens. Daar mag de IdP vertrouwen op het toezicht door de AP. En eerlijk gezegd is er ook eigenlijk geen enkele kans dat een IdP zelf een SAAS-leverancier als Google of Salesforce kan gaan auditen om te toetsen of de SP voldoet aan de privacy-eisen!
En eigenlijk is dat wat er nu aan de hand is met DigiD. Deze IdP laat de SP's jaarlijks auditen. Maar waarom? Dat past immers helemaal niet in het concept van federatie zoals het hierboven is uitgelegd. Het concept van toezicht binnen federaties is toch net andersom: De SP controleert de IdP.
Achtergrond van de DigiD assessment
Dit schrijft de Norea (de beroepsorganisatie van IT Auditors) over de achtergrond van DigiD-assessments
De aanleiding voor het uitvoeren van de ICT-beveiligingsassessments bij organisaties die gebruik maken van DigiD is de brief van de minister van BZK aan de Tweede Kamer "Lekken in een aantal gemeentelijke websites" d.d. 11 oktober 2011 met kenmerk 2011-2000454268. De minister van BZK zegt hier onder punt 3 toe dat *"... alle DigiD gebruikende organisaties ... hun ICT beveiliging getoetst dienen te hebben op basis van een ICT beveiligingsassessment.".* Verder is bepaald dat de ICT-beveiligingsassessments jaarlijks herhaald dienen te worden. Tevens wordt de basisnorm voor de assessment vastgesteld door GOVCERT.NL (nu NCSC) in overleg met VNG/KING. GOVCERT.NL zal de normstelling regelmatig actualiseren.
Concrete aanleiding voor de DigiD assessment
En als je daarop inzoomt, dan blijkt de vermelde brief uit 2011 een reactie op een bekende Lektober actie van Brenno de Winter en (bijna voormalig) Webwereld.
In 2011 bleek dat voor 50 gemeenten zorg bestond over de mogelijkheid dat DigiD gegevens uit zouden kunnen lekken. Die zorgen ontstonden vooral doordat er bij die betreffende gemeentes een content management systeem met een bekende kwetsbaarheid werd toegepast, waardoor persoonsgegevens, m.n. het BSN, onvoldoende beschermd bleken. Dat signaal was ernstig genoeg om meer zekerheid te willen krijgen over het niveau van beveiliging van persoonsgegevens bij die gemeentes. De kwetsbaarheid werd netjes verholpen, maar de zorgen bleven: hoe kunnen we weten dat BSN's niet zomeer weer op straat komen te liggen? De DigiD audit werd geboren: de SP's moesten aantoonbaar veilig zijn.
Nieuwe ontwikkelingen, Oude gevolgen
Inmiddels zijn we enkele generaties van wetten en regels verder. De Wet Bescherming Persoonsgegevens en de nog recentere AVG leggen strenge eisen op aan verwerkers van persoonsgegevens. Met name Consent (toestemming voor verwerking van gegevens) en verantwoordelijkheid voor verwerken van persoonsgegevens, gaan beide veel verder dan de regels die golden ten tijde van het lek.
We zijn ook enkele generaties verder ten aanzien van inzet van federatieve protocollen en tools. We gebruiken federatieve technieken op steeds grotere schaal, we gebruiken clouddiensten op steeds grotere schaal en het gebruik van onderliggende afspraken en contracten zorgt er steeds meer voor dat we beter in control zijn.
Maar op het gebied van BSN-governance zijn we eigenlijk niet volwassener geworden. Dus, op grond van een (eerlijk gezegd *primitieve*) kwetsbaarheid uit 2011 moeten nu nog steeds elk jaar de websites van SP's worden geaudit.
Maatschappelijke kosten DigiD audit
En dat oude incident betekent nu dus dat 800 instanties jaarlijks een assessment moeten ondergaan, zijn er Logius-medewerkers bezig met plannen en beoordelen van de audits en worden er dus veel compliance maatregelen afgedwongen, die, hopelijk, ook iets bijdragen aan het niveau van beveiliging. En dat kost allemaal nogal wat. De kale kosten van een audit lopen van zo'n €5.000 tot €50.000 voor out-of-pockets costs. Daar komen nog de interne kosten bij (ondersteuning van de audit, verbeteren interne processen en technologie - allemaal overigens nodig) en de eventuele noodzakelijk kosten voor het compliance-vinkje.
En de resultaten van die audits kunnen ook kostbaar zijn. De audit kost geld, maar afhankelijk van de interpretatie van de audit, kunnen de kosten de pan uit rijzen.
Een organisatie voelde zich op grond van het resultaat van een audit finding genoodzaakt voelde om een Security Operating Center in te richten. Niet dat zo'n SOC materieel iets bijdraagt aan security, maar het levert wel een compliance-vinkje en dus een goedkeuring voor de DigiD koppeling op. Zonder de intrusion detection sensoren die het SOC zouden voeden, zou de DigiD-aansluiting beëindigd worden.
Los van de al dan niet logische gevolgtrekkingen als het gaat om het voldoen aan de audit-criteria (moet je nou een SOC inrichten voor de DigiD-koppeling of is dat gewoon een *good practice*), zijn er wel hoge kosten verbonden aan de audit. Het is niet eenvoudig om de kosten te becijferen, maar een conservatieve inschatting zou als volgt uitgewerkt kunnen worden:
- 800 audits @ €15.000 (voorzichtinge schatting van de gemiddelde kosten van een audit> €12 miljoen per jaar
- Pentest en hertest 800 @ €5000 = €4 miljoen per jaar
- Auditbegeleiding Logius > (stel) een half miljoen per jaar.
Opgemerkt moet worden dat deze kosten Maatschappelijke kosten zijn, aangezien het uitsluitend publiekrechtelijke organisaties en processen betreft.
Het is nu ook wel duidelijk waarom politici praten over de hoge (maatschappelijke) kosten van DigiD!
Privacy en Federatie
Als een IdP zich al zorgen maakt over het gebruik van persoonsgegevens, dan is dat volgens mij een volkomen overbodige zorg, daar hebben we immers de privacywetgeving voor, daar gaat de AVG over en daarvoor hebben we de Autoriteit Persoonsgegevens als toezichthouder en FG's als operationele waakhonden. En als het gaat over dat BSN: daar heb ik dan ook een uitgesproken mening over: #freethebsn!
We moesten maar weer eens echt verder met het federatieve model, waarin serviceproviders de kwaliteitseisen stellen aan de gebruikers van hun diensten. Kun je die wel vertrouwen? Zouden SP's die DigiD identiteiten toestaan op grond van door henzelf opgestelde kwaliteitseisen, de DigiD IdP niet eens moeten (laten) auditen? Met als doelstelling om zowel de techniek als de procedures van de IdP te beoordelen om te kunnen vaststellen of de betrouwbaarheid van de identiteiten afdoende is om transacties uit te kunnen voeren. Dat past wel nou weer wel prima in het federatieconcept. **En de vraag is dan of het huidige DigiD als IdP door die audit heen komt.**
Onlangs kondigde de minister bovendien aan dat externe identity providers toegelaten moeten worden. Ik vrees dat er nog wat hindernissen moeten worden overwonnen, maar ik denk ook dat er een meer toekomstvaste oplossing gaat ontstaan. Maar het kan niet zo zijn dat die externe partijen ook assessments gaan eisen. In tegendeel: Service Providers zullen eisen stellen aan die nieuwe Id's, het federatieve model dus!
Conclusie: Stop met die overbodige assessments!
Wat mij betreft stoppen we met die DigiD assessments. Laat de toezichthouder inhoudelijk controleren of wordt voldaan aan de privacywetgeving. Die taak past prima in het takenpakket en dan wordt tenminste op een schaalbare en toekomstvaste manier een bijdrage geleverd aan federatief toegangsbeheer.
Maar missen we dan niet de waarborg voor beveiliging die de audit met zich meebrengt?
Jazeker. Maar we moeten wel eerst stellen dat de DigiD-audit helemaal geen DigiD-audit is maar een Security Audit. Probleem daarvan is dat daar buiten de DigiD-regelingen eigenlijk geen wettelijke basis voor is. Overheden moeten nu gaan voldoen aan de nieuwe Baseline Informatiebeveiliging Overheid (BIO), laat dat dan de legitimering voor de Security Audit zijn en laat de kosten van dat audit-huis neerdalen op het voldoen aan de BIO, maar niet op DigiD.
En misschien wel de belangrijkste reden om met de hele Digid-audit te stoppen is dat daardoor het BSN vrij wordt, herbruikbaar. En daarmee de basis voor de digitalisering van onze samenleving: #FREETHEBSN!