Het ministerie van Binnenlandse zaken wil de informatiebeveiliging bij lagere overheden verbeteren. Een recente maatregel is om het gebruik van DigiD veiliger te maken. Logius, beheerder van DigiD, eist dat gebruikers voor eind 2013 een zogenaamd DigiD-assessment uitvoeren. Doorstaan zij deze test niet, dan worden zij door Logius afgesloten van het DigiD-gebruik.
Met het assessment moeten gemeenten, waterschappen, zorginstellingen en andere publieke gebruikers aantonen dat zij voldoen aan de nieuwe DigiD-beveiligingsnormen. Eind december moeten alle gebruikers van DigiD een positief assessment-resultaat laten zien aan Logius. Kunnen ze dat niet, dan worden ze afgesloten van het DigiD-gebruik. Het is zeer de vraag of alle gebruikers van DigiD eind van het jaar voldoen aan de strenge eisen van Logius. Wanneer gemeenten en ander publieke organisaties worden afgesloten van DigiD, dan zijn bepaalde overheidssites niet meer toegankelijk. Een woordvoerder van Logius wil geen uitspraken doen over de stand van zaken met het DigiD-assessment.
BKBO en Tasclinx
René IJpelaar van BKBO in Vlijmen is één van de auditors die nauw betrokken is bij de uitvoering van het assessment bij gemeenten en regionale belastingkantoren. ‘Mij valt op dat vooral gemeenten uitstelgedrag vertonen. Veel gemeenten hebben hun DigiD-beveiligde webpagina’s uitbesteed. De partij aan wie is uitbesteed, moet primair zorgen voor de realisatie van de veiligheidseisen,’ zo stelt IJpelaar. ‘Veel regionale belastingkantoren laten hun DigiD-veiligheid nu toetsen, maar van de zeshonderd gebruikers van DigiD zijn er nu pas vier die het assessment positief hebben voltooid.’
Herman Timmermans van Tasclinx in Rosmalen onderschrijft de zorg over het resultaat van de assessments. ‘Wij werken de veiligheidsprocedures en het informatiebeleid bij een aantal DigiD-gebruikers uit, zodat ze voldoen aan de Logius-normen. Ook wij zien dat veel organisaties pas vrij recent met de DigiD-beveiliging aan de slag zijn gegaan. Zeker als er nog veel in de organisatie en het beleid moet worden aangepast, wordt het erg kort dag.’
King
Uit een recente rondvraag van King, het kwaliteitsbureau van de Nederlandse gemeenten, wordt duidelijk dat ongeveer 70 procent van de gemeenten een auditor heeft ingehuurd en 30 procent ‘ermee bezig is’. ‘Wanneer nu pas vier van de zeshonderd ‘erdoor’ zijn, dan is het zeer de vraag of alle gemeenten voor eind dit jaar erin slagen hun DigiD-gebruik veilig te maken’, meent Timmermans. ‘En dat doet het ergste vrezen voor de bereikbaarheid van die gemeentes via DigiD vanaf begin volgend jaar. Bij die gemeenten kan de burger dan weer terug naar het fysieke loket.’
Een audit voor alle taken in een gemeente (overheidorganisatie) klinkt veel logischer dat ik het vreemd vind dat dat nog niet geregeld is. Want hoeveel kosten al die verschillende audit’s samen en wat leveren ze netto op?
Het uitstelgedrag is logisch (Logius), weer een kostenpost die weinig oplevert…
We hebben het nu over de DigiD audit voor de website…..
Als inwoner heb ik erg veel moeite met de kosten-baten zijn die erg scheef groeien voor een (kleine) gemeente. Voor de DigiD audit om volgend jaar DigiD te hebben kost dat +/- € 15.000,- Dat is per formulier nu minimaal € 50,- extra kosten. Volgens mij is dan de keuze simpel: stoppen met DigiD (en eHerkenning)
Want een audit klinkt leuk maar je krijgt geen zekerheid en we blijven zelf verantwoordelijk. Logius wil de zekerheid van een onafhankelijke deskundige over de betrouwbaarheid van websites. Maar zegt ook: is de website veilig als de uitslag van de audit positief is? Niet per definitie.
Als de Register EDP-auditor het niet goed doet dan is het jammer en je kan de schade nergens verhalen.
Er is geen echt verschil met de DigiNotar waar auditor PWC herhaaldelijk alles in orde heeft bevonden. Dus we kopen m.i. gebakken lucht omdat DigiD niet uitblinkt als veilig.
Het verbaasd me dat de kosten door de gemeenten voor de DigiD audit blijkbaar gemakkelijk geaccepteerd wordt van dat moet dan maar.
Dit is een tekentafel- architecten- academische- of hoe je het ook wil noemen oplossing die in de praktijk niks verbeterd maar wel zorgt dat al die ex-politici die bij die ondernemingen met auditoren zijn gaan werken betaald kunnen worden.
DigiD is zelf een zwak systeem wat elke praktijk ICTér kan aantonen, stop daar geld in.
Ik ben ook geen voorstander van dat de aansluiting uit DigiD getrokken wordt dan alleen als het niet anders kan.
Ik hoop dus dat Logius zijn eisen realistisch gaat maken omdat het duidelijk is dat de DigiD-audit een wassen neus is omdat je op papier (theorie) voldoet aan de veiligheidsprocedures maar de praktijk zal ander zijn.
Een audit voor alle taken in een gemeente en de ICT veiligheid moet tussen de oren van de ambtenaren komen dat de praktijk veilig wordt.
Eisen van Logius zijn best logisch, sterke authenticatie maar zwakke beveiliging is namelijk nogal zinloos. Als cijfers inderdaad kloppen en gemeenten nog steeds laks zijn in de uitvoering van hun taken, de veilige communicatie tussen burger en overheid garanderen, dan is dat dubbel zorgelijk. Veel gemeenten bezuinigen tenslotte op de lokettijden en leveren daardoor dus minder service aan hun inwoners voor meer geld. Eventuele excuses dat ze hun verantwoordelijkheid hebben uitbesteed is zwak, ze hebben blijkens dit verhaal hun verantwoordelijkheid alleen maar ontlopen.
A computing system is only as trustworthy as its weakest link and the weakest link is all too frequently human.
Benieuwd dus hoe lang het gaat duren voordat Logius gaat eisen dat ook burgers een assessment doen om zeker te stellen dat er geen malware is die de ‘verbeterde’ beveiliging weer verzwakt. Oja, als authenticatie los staat van autorisatie en de audit beperkt is dan blijft het uiteindelijk een draak van een SSO oplossing.
Als Loguis zijnde moet je toch vooraf eisen stellen aan aansluiting op DigiD, en voordat de aansluiting feit is het systeem onderzoeken ? Achteraf auditen is een wassen neus.
En zoals aangegeven, het feit dat je DigiD gegevens via de Post gestuurd worden (niet eens aangetekend) is het grootste lekpunt, niet een SHA-1 certificaat…
Wat mij weer een beetje frappant over komt is dat het commerciële partijen zijn die met belletjes rinkelen. Als auditeur bij verschillende overheden heb ik er stelselmatig, in de loop van de jaren van mijn carriere melding gemaakt van aandachtspunten en één van die punten is altijd de veiligheid geweest.
Ou(d)(t) of date
Veel systemen zijn feitelijk niet rendabel meer en sinds 2008 zie je geen uitstelgedrag maar afstel gedrag. Precies wat men in Den Haag sinds Balkenende aan het doen is. Zoveel mogelijk doorschuiven mensen dan hebben wij er geen last van.
Nu moet het mij tegelijkertijd ook van het hart dat ik ook auditeus mee heb gemaakt die niet de meest basale kennis van IT en processen en procedures hadden maar go, tjée, hé …. ze haaden hun afvinklijstje en survey lijstje bij zich die dan later wel op de zaak zou worden geanalyseerd.
Als ik het artikel belees ga je je bijna afvragen wat al die auditeurs toch allemaal aan het doen zijn. Zo ingewikkeld hoeft het de audit nu toch ook weer niet te zijn nietwaar?
@NumoQuest: Lees http://new.kinggemeenten.nl/informatiebeveiliging/downloads-assessment-digid
voor achtergrondinformatie over deze assessments.
Misschien een idee om het auditeren maar te outsourcen naar Azië? Lekker goedkoop en kwalitatief achteruit gaan kan het toch niet.
DigiD is altijd veel TamTam geweest maar als je een kijkje achter het gordijn hebt mogen nemen weet je wel dat het allemaal theater is.
De bedoeling van Logius is goed! Gebruikers en leveranciers moeten bewust worden van het belang van informatiebeveiliging. Het gaat nl. om privacy gevoelige informatie. Gezien het vastgestelde normenkader vallen de kosten van de audit behoorlijk hoog uit. Met als resultaat dat vele gemeenten en zorginstellingen overwegen om met DigiD te stoppen. Als alternatief voor DigiD worden straks weer eigen inlogmechanismen geintroduceerd waardoor de burger de digitale sleutelbos terugkrijgt. Bovendien worden deze mechanismen minder veilig en zullen niet gecontroleerd worden. Alle voordelen van DigiD zijn dus weggevegen!
Wat zal er in 2014 gebeuren als Logius het normenkader n.a.v. de auditrapportages 2013 verder aanscherpt?
Wat er nog ontbreekt is de beoordelingscriteria van Logius en de mogelijke maatregelen als de DigiD-aansluiting onveilig blijkt te zijn. Wanneer is de aansluiting écht onveilig?! Waar ligt de grens? Zijn alle richtlijnen gelijk of wegen sommigen zwaarder? Ik ben zeer benieuwd naar de maatregelen die Logius zal nemen. Als er bij zware overtredingen geen flinke klappen zullen vallen, had deze audit helemaal geen zin.
Nu weet iedereen dat elke eigenaar van een DigiD-aansluiting slechts een “rapport” moet indienen. Er wordt dus niet geeist dat zowel de eigenaar als de leverancier zijn stinkende best moet doen om een zo veilig mogelijke webapplicatie, -dienst of -portaal te leveren.
@Robert
Als ik overweeg dat overheid een beroep doet op de burger om de bron van DigiD, het GBA te controleren op juistheid dan lijkt de wet van Murphy me van toepassing:”If there’s any way they can do it wrong, they will.”
Daarom is het nog niet eens zo gek idee dat gemeenten kiezen voor een andere vorm van authenticatie want geeft tenslotte een keus, aangifte van hondenbezit vind ik tenslotte van minder waarde dan toegang tot mijn medische gegevens. Maar zoals altijd is het bij overheid: “Wie het kleine niet leert, doet het grote altijd verkeerd.”