DigiD Pentest

Is jullie organisatie verantwoordelijk voor een DigiD-omgeving en wil je er zeker van zijn dat jullie digitale identiteitssysteem optimaal is beveiligd? Onze DigiD pentest (V3.0) biedt een grondige analyse van jullie applicatie, API’s en onderliggende infrastructuur. We testen aan de hand van de laatste standaarden en richtlijnen van NOREA zodat kwetsbaarheden tijdig worden gesignaleerd en aangepakt.

DigiD Pentest Uitvoeren

Of neem vrijblijvend contact op >>

  • Relevante inzichten
  • Kosteloos & vrijblijvend
  • Persoonlijk contact
Een DigiD Pentest uitvoeren is belangrijk voor veel organisaties.
DigiD Pentest Rapportages zijn erg complex, hier een voorbeeld van hoe Tozetta dit interactief presenteert.

Overzichtelijke DigiD Richtlijnen

Blijf elk jaar compliant met de DigiD-eisen dankzij de DigiD pentests van Tozetta. Wij bieden een complete Hacking-as-a-Service oplossing, waarbij je via ons interactieve Tozetta Reports portaal direct toegang heeft tot een audit-proof rapport. Je kunt bovendien eenvoudig een hertest aanvragen voor specifieke bevindingen om te garanderen dat je altijd aan de norm voldoet.

Moet ik een DigiD pentest uitvoeren?

Organisaties die DigiD inzetten als identificatiemethode zijn wettelijk verplicht om jaarlijks een ICT-beveiligingsaudit te laten uitvoeren. Dit houdt o.a. in dat elk jaar een pentest moet worden uitgevoerd op alle DigiD-implementaties en de bijbehorende infrastructuur.

  • Identificeer en verwijder kwetsbaarheden in je DigiD-omgeving.
  • Voldoe aan de strenge eisen van NOREA, Logius, BZK.
  • Een veilige digitale omgeving aanbieden aan gebruikers en toezichthouders.
  • Ontvang concrete aanbevelingen om toekomstige beveiligingsrisico’s te minimaliseren.
Bescherm kritieke informatie en voer een jaarlijkse DigiD pentest uit.

DigiD V3.0 Pentest Standaarden

DigiD-beveiliging is essentieel voor organisaties die gebruikmaken van dit digitale identificatiesysteem. De DigiD V3.0 Pentest helpt je te voldoen aan de verplichte beveiligingsrichtlijnen en beschermt jullie omgeving tegen potentiële cyberdreigingen. Onze pentest richt zich op de volgende kernaspecten uit de handreiking van NOREA

De organisatie formuleert een informatiebeveiligingsbeleid dat specifiek gericht is op webapplicatie-gerelateerde onderwerpen zoals gegevensclassificatie, toegangsverlening en kwetsbaarheidsbeheer.

In een contract met een derde partij voor het uitbesteden van levering of beheer van een webapplicatie (als dienst), worden de beveiligingseisen en -wensen gedocumenteerd en bepaald op het passende (organisatorische) niveau.

De inzet van identiteits- en toegangsmiddelen biedt betrouwbare en effectieve mechanismen voor het vastleggen en bepalen van gebruikersidentiteit, het verlenen van rechten aan gebruikers, het verifieerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken.

Het beheer van webapplicaties is procesgericht en procedureel georganiseerd, waarbij geautoriseerde beheerders taken uitvoeren op basis van functieprofielen.

De webapplicatie beperkt de mogelijkheid tot manipulatie door normalisatie en validatie van de invoer voordat deze wordt verwerkt.

De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren.

De webapplicatie garandeert de betrouwbaarheid van informatie door het gebruik van privacybevorderende en cryptografische technieken.

De webserver garandeert specifieke kenmerken van de inhoud van de protocollen.

De webserver is ingericht volgens een configuratiebaseline.

Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen om toegang te krijgen tot beheermechanismen en wordt uitgevoerd in overeenstemming met het operationeel beleid voor platformen.

Er is een hardening-richtlijn beschikbaar voor het configureren van platformen.

Het netwerk is verdeeld in fysieke en logische domeinen (zones), met name een DMZ gepositioneerd tussen het interne netwerk en het internet.

Netwerkcomponenten en netwerkverkeer worden beschermd door beschermings- en detectiemechanismen.

Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd.

Er is een hardening-richtlijn beschikbaar voor het configureren van netwerken.

Kwetsbaarheidsbeoordelingen (beveiligingsscans) worden procesgericht en procedureel uitgevoerd op de ICT-componenten van de webapplicatie (scope).

Penetratietests, ondersteund door richtlijnen, worden procesgericht en procedureel uitgevoerd op de infrastructuur van de webapplicatie (scope).

In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief en efficiënt, effectief en veilig opgezet.

Log- en detectie-informatie (registraties en waarschuwingen) en de condities van de beveiliging van ICT-systemen worden regelmatig gecontroleerd (bewaakt, geanalyseerd) en de bevindingen worden gerapporteerd.

 

Wijzigingsbeheer is procesgericht en procedureel zodanig dat wijzigingen in de ICT-faciliteiten van webapplicaties tijdig, geautoriseerd en getest worden geïmplementeerd.

Patchbeheer, ondersteund door richtlijnen, is procesgericht en procedureel zodanig dat de laatste (beveiligings)patches tijdig worden geïnstalleerd in de ICT-faciliteiten.

Kennismaking inplannen

Wil je ontdekken hoe Tozetta jullie kan helpen om te voldoen aan de DigiD Pentest v3.0 richtlijnen, kwetsbaarheden effectief op te sporen en je cybersecurity te versterken op basis van de richtlijnen van NOREA? Plan dan een kennismaking in.

Neem contact opPlan een call in
Hoe werkt een website pentest uitleg

bekijk onze partners!

Logo Digitale Opsporing
Logo Guardian360
Logo OpenSight

Veelgestelde vragen DigiD Pentest

DigiD is een online inlogmiddel waarmee mensen in Nederland zich kunnen identificeren. Deze inlogmethode wordt  bij overheidsinstanties en andere organisaties die met gevoelige informatie omgaat verplicht. Je gebruikt DigiD bijvoorbeeld om in te loggen bij de belastingdienst, je gemeente of bij je zorgverzekeraar. Het zorgt ervoor dat alleen jij toegang hebt tot jouw persoonlijke gegevens.

DigiD is belangrijk voor organisaties die te maken hebben met persoonlijke gegevens van burgers. Dit zijn bijvoorbeeld:

  • Overheidsinstanties zoals gemeenten, ministeries en de belastingdienst. 
  • Zorginstellingen zoals ziekenhuizen en zorgverzekeraars.
  • Onderwijsinstellingen zoals universiteiten en hogescholen.
  • Pensioenfondsen die pensioenregelingen beheren.

Deze organisaties moeten DigiD gebruiken, omdat ze het Burgerservicenummer (BSN) nodig hebben om mensen te identificeren. 

DigiD stelt strenge eisen aan de beveiliging van systemen die ermee werken. Je moet hierbij bijvoorbeeld denken aan het verplicht stellen van tweefactorauthenticatie (2FA), zoals inloggen met een SMS-code of de DigiD-app. Ook moeten gegevens altijd versleuteld worden verzonden en opgeslagen, zodat bijvoorbeeld burgerservicenummers (BSN) niet zomaar uitlekken.

Daarnaast moeten webapplicaties die DigiD gebruiken beschermd zijn tegen veelvoorkomende cyberdreigingen, zoals SQL-injecties en XSS-aanvallen. Een verkeerd ingerichte website kan ervoor zorgen dat hackers toegang krijgen tot gevoelige gegevens of zelfs sessies van gebruikers kunnen overnemen.

Omdat deze systemen een aantrekkelijk doelwit zijn voor cybercriminelen, moeten organisaties jaarlijks een ICT-beveiligingsassessment laten uitvoeren door een onafhankelijke auditor. Dit is vergelijkbaar met een APK-keuring: als een organisatie niet aan de eisen voldoet, kan Logius de toegang tot DigiD blokkeren.

Wij voeren de verplichte pentest uit als onderdeel van dit proces, waarbij we kwetsbaarheden in systemen in kaart brengen voordat kwaadwillenden dat doen. Zo kunnen organisaties tijdig actie ondernemen om hun DigiD-koppeling veilig te houden.

Een penetratietest is het inzichtelijk maken van kwetsbaarheden binnen software en systemen. Binnen diverse standaarden is een pentest uitvoeren verplicht, zo ook binnen een DigiD-assessment. Binnen de richtlijnen van een DigiD-assessment worden specifieke eisen gesteld aan de penetratietest. Daarom spreken we van een ”DigiD-pentest”. 

Volgens de “Handreiking ICT-beveiligingsassessment DigiD 2024” van NOREA moeten organisaties die DigiD gebruiken minimaal jaarlijks een penetratietest uitvoeren op hun DigiD-webapplicatie en de bijbehorende infrastructuur. Daarnaast is het verplicht om een pentest uit te voren na significante wijzigingen, zoals:

  • Vervanging van de applicatie
  • Implementatie van een nieuwe versie
  • Migratie van webservers
  • Database-migratie

Het wordt aanbevolen om, op basis van een risicoafweging, meerdere keren per jaar een pentest uit te voeren om netjes in te spelen op nieuwe bedreigingen. Dit proactieve testbeleid helpt bij het tijdig identificeren en verhelpen van potentiële kwetsbaarheden, waardoor de beveiliging van DigiD-implementaties continu wordt versterkt

Een DigiD pentest en een normale pentest verschillen voornamelijk in scope en eisen. Een normale pentest onderzoekt de beveiliging van een systeem, applicatie of netwerk op kwetsbaarheden, waarbij de aanpak en methodologie afhankelijk zijn van de specifieke behoeften van de opdrachtgever. Dit kan variëren van black-box testing (zonder voorkennis) tot white-box testing (met volledige toegang tot de code en infrastructuur).

Een DigiD pentest is daarentegen een streng gereguleerde beveiligingstest specifiek voor organisaties die DigiD integreren in hun systemen. Deze pentest moet voldoen aan de eisen van Logius, de beheerder van DigiD, en richt zich op de beveiliging van DigiD-koppelingen en de bescherming van persoonsgegevens. De testmethodologie en rapportage moeten aan vastgestelde richtlijnen voldoen, en de resultaten worden door Logius beoordeeld voordat een systeem goedgekeurd wordt voor het gebruik van DigiD.

 

Een DigiD pentest is verplicht voor alle organisaties die DigiD gebruiken, omdat het systeem toegang geeft tot privacygevoelige gegevens. Logius stelt strikte beveiligingseisen om misbruik en datalekken te voorkomen. Door regelmatig te testen, wordt gecontroleerd of de beveiliging nog steeds voldoet aan de normen en er geen kwetsbaarheden aanwezig zijn.

Een DigiD pentest moet minimaal jaarlijks worden uitgevoerd of bij significante wijzigingen in het systeem. Dit is nodig om te garanderen dat nieuwe functionaliteiten of updates geen kwetsbaarheden introduceren. Zonder een goedgekeurde test mag het systeem geen DigiD-integratie gebruiken.

Een DigiD pentest is een grondige beveiligingstest waarbij een ethische hacker kwetsbaarheden in de DigiD-koppeling opspoort. De pentest moet voldoen aan de richtlijnen van Logius die de eisen laat opstellen door NOREA. De resultaten van deze pentest worden meegenomen in het DigiD Assessment.

Een DigiD assessment is een bredere audit die niet alleen de technische beveiliging (inclusief de pentest), maar ook de organisatorische en procedurele maatregelen rondom DigiD-gebruik beoordeelt. Dit assessment is verplicht en moet worden uitgevoerd door een door Logius geaccrediteerde auditor.

Een DigiD pentest is dus onderdeel van het DigiD assessment

Een goede voorbereiding op een DigiD-pentest helpt een organisatie om kwetsbaarheden vroegtijdig te ontdekken en ervoor te zorgen dat het jaarlijkse DigiD-assessment soepel verloopt.

  • Documentatie verzamelen: Maak het gemakkelijker voor de pentesters om documenten die eventueel relevant zijn klaar te leggen, zoals architectuur documenten, netwerkdiagrammen en configuraties. Mocht er ooit een eerder uitgevoerde pentest of security scan zijn uitgevoerd, lever die aan als referentie.
  • Toegang en testomgeving regelen: Zorg ervoor dat pentesters toegang hebben tot een testomgeving die zoveel mogelijk lijkt op de productieomgeving. Geef de pentester(s) ook toegang tot een testaccount. Het is natuurlijk verstandig om te testen in een testomgeving, mocht er ooit wat kapot gaan.  

Het niet voldoen aan de DigiD-vereisten kan voor organisaties verschillende ernstige consequenties hebben:

  • Opschorting of beëindiging van DigiD-dienstverlening: Als een organisatie haar jaarlijkse assessmentrapportage niet tijdig indient, kan Logius overgaan tot het opschorten of zelfs deactiveren van de DigiD-aansluiting. Dit betekent dat de organisatie geen gebruik meer kan maken van DigiD voor haar diensten.
  • Formele aanmaning: Bij het niet op tijd aanleveren van de assessmentrapportage stuurt Logius een aangetekende aanmaningsbrief. Hierin wordt de organisatie in gebreke gesteld en krijgt zij een laatste kans om aan de verplichtingen te voldoen.
  • Reputatieschade: Het niet naleven van DigiD-standaarden kan leiden tot negatieve publiciteit en een verminderd vertrouwen van klanten en partners in de organisatie.