Minister Donner trekt touwtjes rond DigiD aan
In een brief aan de Tweede Kamer bevestigt minister Donner nog eens dat het op orde houden van de ICT-beveiliging in eerste aanleg een verantwoordelijkheid is van de individuele overheidsorganisaties. Dat is geheel in lijn met de autonomie die de verschillende bestuurslagen binnen het Nederlandse overheidsbestel kennen.
Maatregelen om DigiD te beschermen
Met betrekking tot DigiD neemt minister Donner echter nu wel maatregelen, met als argument dat DigiD onderdeel is van een keten van elektronische dienstverlening: 'de informatiebeveiliging van de keten als geheel moet op orde zijn', schrijft Donner aan de Kamer.
Concreet neemt Donner daarom nu de volgende maatregelen:
- Alle organisaties die DigiD gebruiken dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun ICT-beveiliging getoetst te hebben.
- Vanaf 2012 is sprake van een jaarlijkse herhaling van de ICT-beveiligingsassessment door alle gebruikende organisaties.
- De kwaliteit van de beveiliging van bij DigiD betrokken instanties zal worden beproefd door externe hackers.
- Alle organisaties waarvan blijkt dat de ICT gecompromitteerd is (met mogelijke gevolgen voor DigiD) worden per direct afgekoppeld van DigiD.
- Organisaties die zijn afgesloten van DigiD kunnen weer worden aangesloten als ze voldoen aan een aantal minimum beveiligingseisen.
Logius zoekt partners voor assessment en penetratietesten
De toets waaraan de DigiD gebruikende instanties aan moeten voldoen, moet nog worden ontwikkeld. Minister Donner laat dat doen door Govcert, het computer emergency repons team van de overheid, dat daarvoor in overleg treedt met de Vereniging Nederlandse Gemeenten en het Kwaliteits Instituut Nederlandse Gemeente. Govcert zal de norm regelmatig actualiseren aan de hand van de nieuwe bedreigingen die zich aandienen.
De ICT-assessments worden uitgevoerd door externe partijen die door Logius zullen worden geselecteerd; Logius is de organisatie die binnen de overheid de ICT-infrastructuur verzorgt. Grote organisaties mogen dat ook zelf doen, als ze in de ogen van Logius over voldoende kennis op dat vlak beschikken. Logius zal ook betrouwbare marktpartijen zoeken voor het uitvoeren van penetratietesten van buitenaf.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee