Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een DigiD pentest

Icon van een DigiD pentest

Met DigiD, de digitale identiteitsdienst van de Nederlandse overheid, kunnen burgers zich aanmelden bij overheidsinstanties en bij steeds meer private organisaties. DigiD begon als toegang tot overheidsdiensten zoals DUO, de gemeentelijke websites en de Belastingdienst. Inmiddels gebruiken ook zorgverzekeraars, energieleveranciers, pensioenfondsen en andere organisaties die persoonsgegevens verwerken DigiD.

Omdat miljoenen Nederlanders zich met DigiD aanmelden, draagt elke organisatie met een DigiD-koppeling een grote verantwoordelijkheid. Een kwetsbaarheid in zo’n webapplicatie kan leiden tot ongeautoriseerde toegang tot persoonlijke gegevens, tot identiteitsfraude en tot een inbreuk op de privacy. Daarom heeft Logius, de beheerorganisatie van DigiD, samen met het NCSC en NOREA een strikt normenkader opgesteld. Sinds 2013 moet elke organisatie met een DigiD-koppeling jaarlijks een ICT-beveiligingsassessment laten uitvoeren, met daarin een penetratietest volgens het NOREA-normenkader versie 3.0.

Een DigiD pentest (kort voor penetratietest) onderzoekt een webapplicatie met DigiD-koppeling tegen de beveiligingsnormen uit dat normenkader. De test gaat verder dan een reguliere webapplicatie pentest en kijkt nadrukkelijk naar de NCSC-beveiligingsrichtlijnen, naar hardening en naar de infrastructuur die bij DigiD-authenticatie hoort.

Waarom en wanneer is een DigiD pentest belangrijk?

Voor elke DigiD-aansluithouder is een DigiD pentest een wettelijke verplichting. Voert u het assessment niet uit, of slaagt u er niet voor, dan kan Logius uw DigiD-koppeling afsluiten en ligt uw dienstverlening stil. Het ICT-beveiligingsassessment DigiD, inclusief de penetratietest, moet elk jaar vóór 1 mei zijn afgerond.

Een DigiD pentest is verstandig in de volgende situaties:

  • Als jaarlijkse verplichting, omdat elke organisatie met een DigiD-koppeling vóór 1 mei een ICT-beveiligingsassessment moet laten uitvoeren.
  • Na een grote wijziging in de applicatie, omdat nieuwe functies of aanpassingen in de code nieuwe kwetsbaarheden kunnen meebrengen.
  • Bij de overstap naar normenkader 3.0, omdat de strengere eisen aan de CSP en de Referrer-Policy aanpassingen in de code vragen.
  • Voor uw eerste DigiD-koppeling, om de beveiliging te controleren voordat de integratie live gaat.
  • Na een beveiligingsincident, om te achterhalen hoe de kwetsbaarheid ontstond en de verbeteringen te testen.

Plan de test vroeg in het jaar, in januari of februari. In maart en april zit de agenda van pentestleveranciers vol vanwege de deadline van 1 mei die voor alle aansluithouders geldt.

Wat valt er allemaal onder een DigiD pentest?

Wat een DigiD pentest precies omvat, hangt af van welke DigiD-normen op uw webapplicatie en infrastructuur van toepassing zijn. We lopen alle relevante normen uit het NOREA-normenkader 3.0 langs en leveren een NOREA-conform rapport op dat de RE-auditor direct kan gebruiken.

Webapplicatie security (U/WA-normen)

De webapplicatie is het belangrijkste aanvalsoppervlak van een DigiD-koppeling. We testen hier alle beveiligingsmaatregelen en controles die beschermen tegen injectie, XSS en andere webapplicatie kwetsbaarheden.

We testen de volgende webapplicatie-normen:

  • U/WA.03 - Invoer normalisatie en validatie - Input validation tegen injectie aanvallen
  • U/WA.04 - Uitvoer normalisatie - Cross-Site Scripting (XSS) testing en output encoding validatie
  • U/WA.05 - Privacy en cryptografie - Encryption at rest en in transit, session management security en secure cookie attributes

Webserver en platform security (U/PW-normen)

De webserver en de platformconfiguratie vormen de basis onder elke webapplicatie. We testen hier de security headers, de SSL/TLS-configuratie, de hardening en de beheerprotocollen die bij DigiD-authenticatie horen.

We testen de volgende platform-normen:

  • U/PW.02 - Protocol content garanties - Security headers en SSL/TLS configuratie
  • U/PW.03 - Configuratie-baseline - Webserver hardening
  • U/PW.05 - Veilige beheerprotocollen - Secure protocols voor beheer
  • U/PW.07 - Hardeningsrichtlijn - Platform hardening guidelines validatie

Een DigiD pentest op de webserver en het platform combineert u goed met een webapplicatie pentest. Zo onderzoekt u zowel de applicatie als de infrastructuur eronder.

Netwerk- en infrastructuurbeveiliging (U/NW-normen)

De inrichting van uw netwerk bepaalt hoe goed uw webapplicatie is afgeschermd van het interne netwerk en de beheersystemen. We testen hier de netwerksegmentatie, de DMZ-configuratie en de netwerk-hardening die voorkomen dat een aanvaller lateraal kan bewegen.

We testen de volgende netwerk-normen:

  • U/NW.03 - Netwerkscheiding en DMZ - Netwerkscheiding in zones met DMZ tussen internet en intern netwerk
  • U/NW.05 - Beheer/productie scheiding - Afscherming beheer- en productieverkeer
  • U/NW.06 - Netwerk hardeningsrichtlijn - Netwerk hardening validatie

Een DigiD pentest op het netwerk en de infrastructuur combineert u goed met een bedrijfsnetwerk pentest, zodat u uw hele netwerkinfrastructuur laat onderzoeken.

Controle- en procesnormen (C-normen)

De controle- en procesnormen gaan na of u uw beveiligingsprocessen netjes uitvoert en vastlegt. We kijken hier naar uw kwetsbaarheidsbeheer, uw patchmanagement en uw procedures rond penetratietesten.

We testen de volgende controle-normen:

  • C.03 - Vulnerability assessments - Procesmatige vulnerability assessments
  • C.04 - Penetratietests - Procesmatige penetratietests met richtlijnen
  • C.09 - Patchmanagement - Patchmanagement en tijdige beveiligingsupdates

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • DigiD expertise - Diepgaande kennis van het NOREA-normenkader 3.0, de NCSC-beveiligingsrichtlijnen en de eisen rond DigiD
  • Direct contact - Geen accountmanagers, u spreekt rechtstreeks met de pentesters die uw test uitvoeren
  • Flexibiliteit - Een DigiD pentest is vaak binnen 2 tot 3 weken in te plannen

Meer over onze aanpak en expertise leest u op onze over ons-pagina.

Klaar voor uw DigiD-pentest?

Wij voeren de pentest uit conform het DigiD-normenkader en zorgen dat het rapport aansluit op de audit-eisen. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over DigiD penetratietests

Wat is het verschil tussen een DigiD pentest en een reguliere webapplicatie pentest?

Een DigiD pentest is een webapplicatie pentest die voldoet aan de Nederlandse compliance-eisen rond DigiD.

DigiD pentest:

  • Verplicht voor organisaties met een DigiD-koppeling
  • Gebaseerd op het NOREA-normenkader DigiD 3.0
  • Test tegen de specifieke DigiD-normen (U/WA, U/PW, U/NW en de C-normen)
  • Elk jaar verplicht vóór 1 mei
  • Onderdeel van het ICT-beveiligingsassessment DigiD
  • De RE-auditor gebruikt de resultaten voor de DigiD-certificering
  • Kijkt extra naar de Content Security Policy, de Referrer-Policy en hardening

Reguliere webapplicatie pentest:

  • Algemene security testing volgens OWASP
  • Geen vast normenkader
  • Vrije planning
  • Geen compliance-verplichting

Een DigiD pentest gaat technisch verder en moet voldoen aan de strikte NOREA-richtlijnen, zodat een auditor de resultaten kan gebruiken.

Wat kost een DigiD pentest?

Wat een DigiD pentest kost, hangt af van de scope, de omvang van de webapplicatie en eventueel maatwerk. Na een intakegesprek stellen wij een voorstel voor u op dat bij uw situatie past.

Wat is het verschil tussen DigiD normenkader 1.0, 2.0 en 3.0?

Het DigiD-normenkader is meerdere keren herzien. Versie 3.0 geldt sinds augustus 2022.

Versie 1.0 (2013-2017):

  • Gebaseerd op de NCSC-richtlijnen voor webapplicaties uit 2013
  • 28 beveiligingseisen aan de webapplicatie
  • Basismaatregelen voor beveiliging

Versie 2.0 (2017-2022):

  • Gebaseerd op de NCSC-richtlijnen voor webapplicaties uit 2015
  • 20 beveiligingseisen, een vereenvoudiging ten opzichte van 1.0
  • Meer aandacht voor de praktische uitvoering

Versie 3.0 (augustus 2022 tot nu):

  • Nog steeds gebaseerd op de NCSC-richtlijnen uit 2015
  • 21 beveiligingseisen, met één extra norm
  • Risicogerichter en technisch ingrijpender
  • Strengere eisen aan de Content Security Policy: geen unsafe-inline zonder nonce, geen unsafe-eval
  • Een verplichte Referrer-Policy
  • Modernere eisen aan cryptografie
  • Strengere eisen aan hardening

De grootste verandering in 3.0 zit in de CSP. Veel bestaande implementaties met unsafe-inline voldoen niet meer en vragen om aanpassingen in de code.

Hoe bereid ik mijn organisatie voor op een DigiD pentest?

Een geslaagd DigiD-assessment begint met goede planning.

Planning (zes weken of meer voor 1 mei):

  • December tot januari: een pentestleverancier kiezen en de intake plannen
  • Januari tot februari: de scope bepalen en de pentest uitvoeren
  • Februari tot maart: de bevindingen verhelpen
  • Maart: de retest en het afronden van de rapportage
  • April: de beoordeling door de RE-auditor en de DigiD-certificering

Alle DigiD-aansluithouders hebben dezelfde deadline van 1 mei. Daardoor zit de agenda van pentestleveranciers in maart en april vol. Plan op tijd, dan bent u verzekerd van een plek.