Een DigiD-pentest is een penetratietest die specifiek gericht is op een webomgeving met een DigiD-koppeling. Om te toetsen of de omgeving voldoet aan een aantal door Logius voorgeschreven technische beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC)*. LBVD kan een dergelijke penetratietest voor u verzorgen, als onderdeel van het DigiD ICT-beveiligingsassessment**.
Bij een DigiD-pentest onderzoekt LBVD de beveiliging van de webomgeving met een DigiD-koppeling die via internet benaderbaar is (“internet-facing”). Daarbij besteden de pentesters van LBVD extra aandacht aan de beveiligingsrichtlijnen U/WA.03, U/WA.04, U/WA.05, U/PW.02, U.PW.03, U.PW.05, U.PW.07, U/NW.03, U/NW.05, U/NW.06, C.03, C.04 en C.09, zie ook testaanpak Norea.
Actieplan
Een DigiD-pentest geeft u inzicht in de kwetsbaarheid van uw DigiD-koppeling met bijbehorende ICT-infrastructuur en de weerbaarheid tegen cyberaanvallen. LBVD helpt u aan een adequaat actieplan voor de hoge, midden en lage risico’s zodat u direct corrigerende maatregelen kunt treffen. Via een hertest (“validatietest”) toetsen we later of dat is gelukt.
*) Het Nationaal Cyber Security Centrum (NCSC) publiceerde in 2015 haar “ICT-beveiligingsrichtlijnen voor webapplicaties”. Organisaties doen er goed aan deze richtlijnen als leidraad te gebruiken voor het beveiligen van hun webapplicaties inclusief onderliggende netwerken en systemen.
**) Om een eigen DigiD-aansluiting/koppeling te mogen exploiteren zijn organisaties met een dergelijke koppeling (o.a. gemeenten, verzekeraars en onderwijsinstellingen) verplicht per aansluiting jaarlijks een “ICT-beveiligingsassessment DigiD” uit te laten uitvoeren door een externe, onafhankelijke partij. Vervolgens moeten ze het assurance-rapport voorleggen aan Logius als DigiD-beheerorganisatie. Hiermee houdt Logius toezicht op de (veiligheid van) DigiD-aansluitingen.