Door het recent gevonden lek in webapplicatieframework Ruby on Rails was DigiD genoodzaakt een dag offline te gaan. Een ingrijpend besluit, want een zeer grote groep personen en bedrijven is dagelijks afhankelijk van het digitale authetiecatiesysteem. De meningen van Computable-experts over de noodzaak van het offline halen lopen uiteen. Vooral maatwerksoftware lijkt DigiD de das om te hebben gedaan.
Volgens expert Willem Kossen, ict-architect bij BKWI, is de huidige versie van DigiD eigenlijk een herbouw van de vorige versie, maar op een ander platform. ‘Voorheen draaide DigiD op Java met behulp van Aselect. Dit is een door en door getest securityframework. Nu is het een maatwerksysteem op een veel jongere ontwikkelomgeving. Ruby on Rails is van oorsprong niet voor securitytoepassingen, maar is meer bedoeld voor webapps. Mogelijk is dit toch niet de meest handige overstap geweest.’
Offline gaan of niet?
Expert Erik Remmelzwaal, ceo van DearBytes, vindt de handelswijze om DigiD offline te halen opvallend. ‘DigiD is mijns inziens voor de samenleving een behoorlijk kritisch systeem en je zou zeggen dat er nagedacht is over de vereiste beschikbaarheid daarvan. Of het dan oké is dat een dergelijk systeem een dag offline is, waag ik te betwijfelen. De reactie komt me dan ook enigszins paniekerig, niet beleidsmatig over. Je vraagt je ook af of DigiD nu bij elk kritisch lek in software of hardware, waar het in directe of indirecte zin gebruik van maakt, een dag offline zal zijn.’
Computable-expert Corné van Rooij, districtmanager Benelux en Zwitserland bij RSA, is het niet met Remmelzwaal eens. ‘Ik vind het terecht dat Logius DigiD tijdelijk uit de lucht heeft gehaald om passende maatregelen te nemen. Dat is namelijk goed huisvaderschap, gezien het feit dat DigiD veel privacygevoelige informatie ontsluit. Dat stukje overlast zullen we voor lief moeten nemen, want 100 procent veilige software bestaat niet. Het is goed voor Logius om te kijken of ze een extra beveiligingslaag moeten toevoegen om afwijkende sql-queries te voorkomen. De logica en queries naar het DigiD-platform zijn zeer beperkt en afwijkende queries zijn daarom goed te herkennen.’
Hoog risicoprofiel
Van Rooij maakt zich drukker over een totaal andere vraag. DigiD is een onderdeel van een kritische infrastructuur en daarom moeten er volgens hem hogere eisen aan beveiliging worden gesteld dan wellicht nu het geval is. ‘Dat is wellicht een probleem voor Logius, omdat het sinds kort een baten/lasten-dienst is en dus een vaste afspraak heeft over de kostprijs van het ‘product’ voor de overheid. Extra uitgaven zijn dan vaak pas via een goedgekeurde begroting te verantwoorden en pas in het jaar van die begroting ook door te berekenen. Niet erg agile dus, terwijl deze authenticatiedienst wel een hoog risicoprofiel heeft en dus in theorie in vervelende situaties kan belanden. Kun je dan reageren op een voorspelling, securitytrend of waarschuwing, zoals van het NCSC, of wacht je tot je er daadwerkelijk mee geconfronteerd wordt en niet anders kan dan anticiperen?’
@Gerbrand van Dieijen : Dat is onzin. ’s nachts werd de lek bekend gemaakt op de ruby mailinglist en een CVE aangemaakt. ’s ochtends om 8:00 ging DigID om de patch te testen en te installeren. Dat is snel aangezien ook alle partij-en die gebruik van DigiD op de hoogte moeten worden gebracht. In mijn optiek en gezien de tijd dat het heeft gekost voor andere systemen van de overheid die gepatched moeten worden vind ik dat Logius er snel bij was en snel heeft gehandeld.
Als ik dit zo lees staan er een heleboel kapiteins op de wal ondanks dat we ondertussen weten hoe het afgelopen is met de Titanic;-)