Een DigiD-pentest is een penetratietest die specifiek gericht is op een webomgeving met een DigiD-koppeling. Om te toetsen of de omgeving voldoet aan een aantal door Logius voorgeschreven technische beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC)*. LBVD kan een dergelijke penetratietest voor u verzorgen, als onderdeel van het DigiD ICT-beveiligingsassessment**.
Bij een DigiD-pentest onderzoekt LBVD de beveiliging van de webomgeving met een DigiD-koppeling die via internet benaderbaar is (“internet-facing”). Daarbij besteden de pentesters van LBVD extra aandacht aan de beveiligingsrichtlijnen U/WA.03, U/WA.04, U/WA.05, U/PW.02, U.PW.03, U.PW.05, U.PW.07, U/NW.03, U/NW.05, U/NW.06, C.03, C.04 en C.09, zie ook testaanpak Norea.
Actieplan
Een DigiD-pentest geeft u inzicht in de kwetsbaarheid van uw DigiD-koppeling met bijbehorende ICT-infrastructuur en de weerbaarheid tegen cyberaanvallen. LBVD helpt u aan een adequaat actieplan voor de hoge, midden en lage risico’s zodat u direct corrigerende maatregelen kunt treffen. Via een hertest (“validatietest”) toetsen we later of dat is gelukt.
*) Het Nationaal Cyber Security Centrum (NCSC) publiceerde in 2015 haar “ICT-beveiligingsrichtlijnen voor webapplicaties”. Organisaties doen er goed aan deze richtlijnen als leidraad te gebruiken voor het beveiligen van hun webapplicaties inclusief onderliggende netwerken en systemen.
**) Om een eigen DigiD-aansluiting/koppeling te mogen exploiteren zijn organisaties met een dergelijke koppeling (o.a. gemeenten, verzekeraars en onderwijsinstellingen) verplicht per aansluiting jaarlijks een “ICT-beveiligingsassessment DigiD” uit te laten uitvoeren door een externe, onafhankelijke partij. Vervolgens moeten ze het assurance-rapport voorleggen aan Logius als DigiD-beheerorganisatie. Hiermee houdt Logius toezicht op de (veiligheid van) DigiD-aansluitingen.
Nb. Wij voeren uw penetratietest uit met het CCV-keurmerk Cyber Security Pen Test. We zijn daartoe door Dekra gecertificeerd.
De resultaten geven inzicht in de robuustheid van het geteste object, op het moment van uitvoering, met de kennis van dat moment. De test blijft uiteraard altijd een momentopname.