Overheidsorganisaties die DigiD gebruiken, dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun ict-beveiliging te hebben getoetst. Dit moet gebeuren op basis van een nog door Govcert, het cybercrimeteam van de rijksoverheid, te maken beveiligingsnorm. Overheden die hun ict-beveiliging niet op orde blijken te hebben, worden per direct afgekoppeld van DigiD. Dat schrijft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer.
Donner greep in na berichten in de media, opgepookt door het Lektober-initiatief van ict-website Webwereld, over lekkende websites van gemeenten. Hoewel de minister constateert dat ict-beveiliging in de eerste plaats een verantwoordelijkheid is van individuele overheidsorganisaties zelf, vindt Donner dat de informatiebeveiliging van de ict-keten als geheel op orde moet zijn. Daar moet de rijksoverheid op letten. Hij heeft daarom Logius, de ict-infrastructuurbeheerder van de overheid, de opdracht gegeven overheidsorganisaties die hun ict-beveiliging niet op orde blijken te hebben, per direct af te koppelen van DigiD. Die organisaties kunnen weer worden aangesloten als ze voldoen aan een aantal minimum beveiligingseisen.
Toetsen
Verder kondigde de bewindsman aan dat DigiD-gebruikers binnen de overheid voor het einde van het eerste kwartaal van 2012 hun ict-beveiliging getoetst behoren te hebben. Govcert, het cyber crimeteam van de rijksoverheid, stelt deze toets op, in overleg met VNG (Vereniging Nederlandse Gemeenten) en de gemeentelijke kwaliteitsadviseur King. Bovendien zal Logius een aantal marktpartijen vragen de ict-beveiliging van de DigiD-gebruikers proberen te kraken, om te bepalen of de ict-beveiligingstoets goed is uitgevoerd.
Deze toets dient vanaf 2012 elk jaar te worden herhaald, waarbij Govcert de eisen zal aanpassen en vanwege nieuwe bedreigingen die zich aandienen. Overheidsinstanties moeten de test laten uitvoeren door een groep voorkeursleveranciers die door Logius zijn geselecteerd. Grote overheden met voldoende ict-kennis (ter beoordeling aan Logius) mogen debeveiligingsassessments in eigen beheer uitvoeren.
In het verleden gemaakte fouten bieden geen garantie voor de toekomst.
“Geen DigiD voor overheden met onveilige ICT”, is de kop van het artikel. Een goede stap op weg naar veiliger ICT is voor die gemeentes om DigiD de deur uit te smijten.
Want DigiD niet meer betrouwbaar.
In Nieuwsuur (1 oktober 22:00, Nederland 2) heeft Brenno de Winter beschreven hoe DigiD credentials gestolen kunnen zijn door een phishing attack.
Deze “aanval” was al jaren bekend, maar omdat de “aanval” nu gewoon op de tv beschreven is, kan de overheid kan er niet meer op vertrouwen dat de ingelogde gebruiker werkelijk de burger is aan wie de DigiD toebehoort.
Einde verhaal. Doek valt. DigiD is afgelopen.
Voor wie het niet gevolgd heeft, dit is wat er echt mis is met DigiD.
DigiD heeft zich geprofileerd als authenticatie mechanisme voor burgers op websites van de overheid. “Zo weten overheidsinstellingen dat ze ook echt met u te maken hebben.”, lezen we nu nog steeds op http://www.digid.nl/burger/over-digid/.
Maar DigiD wordt ook gebruikt door zorginstellingen, uitkeringsinstanties, gezondheidcentra en ook zorgverzekeraars. Zijn dat dan ook overheidsinstellingen? Nee dus. Maken zij dan wel legaal gebruik van DigiD? Ja dus, alleen dat blijkt weer niet uit de website van DigiD en de postbus 51 spotjes.
Dus (bijna) iedereen die inlogt met DigiD bij een andere organisatie dan een overheid, heeft het niet gesnapt. Die logt misschien ook wel in met DigiD op een malafide site, waar DigiD login gegevens worden ontfutseld. En omdat er mensen zijn die dit doen, is DigiD geen betrouwbaarheid authenticatie mechanisme. De overheid kan er niet meer op vertrouwen dat de ingelogde gebruiker werkelijk de burger is aan wie de DigiD toebehoort.
Eigen schuld, vind ik. Wees helder in je communicatie en vertel hoe het zit. Het idee is heel mooi, maar het was al kwetsbaar genoeg zonder dat er slecht gedocumenteerde uitzonderingen werden gemaakt.
Het zal u duidelijk zijn: wat mij betreft heeft DigiD afgedaan.
Natuurlijk zal ik ook weer DigiD gaan gebruiken bij mijn belastingaangifte. Want als alles goed gaat, dan is het mooi, maar als er iets mis gaat, dan kwam dat niet door mij. Want als ik een keer DigiD heb gebruikt waar ik dat beter niet had kunnen doen, dan weet iemand anders nu ook mijn username en password. En dan beschik ik over een excuus dat “plausible deniability” genoemd wordt. Er bestaat de kans dat iemand anders misschien mijn DigiD misbruikt heeft.
In het verleden gemaakte fouten bieden geen garantie voor de toekomst, zo begon ik deze reactie. Maar laat ik nou voorspellen dat er politici en andere stakeholders zijn die onze belangen gaan beschermen. En dat gaan we doen op de verkeerde manier, zoals we dat in het verleden ook op de verkeerde manier gedaan hebben.
Conclusie: DigiD is onbetrouwbaar en dat is zeer moeizaam te herstellen. Leg je er bij neer en doe er je voordeel mee.
Overheidsinstanties moeten binnenkort jaarlijks getest worden door een groep van voorkeursleveranciers die geselecteerd worden door Logius, het bedrijf dat bewezen heeft dat ze er onvoldoende van begrijpen.
Dus volgend jaar hebben we bakken belastinggeld uitgegeven en lezen we nog steeds over allerlei ICT problemen bij de overheid. Want als je niet in zee gaat met security experts maar wordt beperkt tot een lijst van voorkeursleveranciers, dan kan dat alleen verkeerd aflopen. Hier zou de minister eens een vrije markt moeten verplichten.
Maar ja, wie weinig wil doen aan beveiliging loopt de kans dat hij precies krijgt waar hij recht op heeft: weinig beveiliging.
Zucht. Tot volgend jaar (voor het vervolg).
Overheidsinstanties moeten binnenkort jaarlijks getest worden door een groep van voorkeursleveranciers die geselecteerd worden door Logius, het bedrijf dat bewezen heeft dat ze er onvoldoende van begrijpen.
geldt dit ook voor de zorginstellingen, verzekeraars en dergelijke?
Read more: https://www.computable.nl/artikel/ict_topics/overheid/4220501/1277202/geen-digid-voor-overheden-met-onveilige-ict.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing#ixzz1agYYJyDi
@Piet Kastelijn
Ja, dat lijkt mij van wel. Als de minister besluit dat DigiD wel veilig is en dat voor het gebruik daarvan veiligheidsvoorschriften van toepassing worden verklaard, dan zie ik niet in waarom rechtmatige gebruikers die niet onder de overheid vallen hiervan vrijgesteld zouden worden.
Cor Rosielle heeft gelijk. DigiD is niet meer te vertrouwen en in die zin heeft deze actie van de Minister geen enkele zin meer. Pas als de opvolger van DigiD beschikbaar komt zal het weer mogelijk zijn om met een schone lei te beginnen.
Voordat überhaupt een overheids website online gaat moet deze door specialisten goed nagekeken zijn. Dat gebeurde sporadisch en daardoor slaan ze nu ook keer op keer een flater.
Het vertrouwen van de burgers is volledig zoek en dan nog wordt er door de overheid stelselmatig tegen ze gelogen. Zelfs de oppositie van de 2e kamer mist de kennis om het kabinet hier afdoende op af te rekenen en wat dat betreft mag je concluderen dat de hele Nederlandse politiek hier een onvoldoende antwoord op heeft. Er moeten dingen drastisch veranderen eer dat vertrouwen weer terug komt.
Veel beter zou het zijn wanneer de beveiliging van overheidsites geen gebruik zou maken van enkel gebruikersnaam/wachtwoord combinaties.
Kijk naar de wijze waarop veel banken hun toegang hebben beveiligd. Verstrek aan alle burgers een cryptocard, die in combinatie met een persoonlijke ID-card (zoals nationale ID-card of paspoort) en een pincode toegang biedt tot alle overheidsites.
Overigens zou je per huishouden 1 cryptocard kunnen verstrekken, ipv 1 per burger. Dat scheelt uiteraard in de kosten.
Bedenk daarnaast een noodprocedure voor burgers die hun ID-card zijn kwijtgeraakt en tijdelijk niet kunnen inloggen.
Is het een idee om ipv digid niet de overheid te laten samenwerken met de banken. Dus in federation opzetten. Op het moment dat je op een overheidswebsite moet inloggen wordt je geleid naar de bank waar je jouw rekeningnummer hebt. Dan log je in op de bank en de bank geeft een token af aan de website van de overheid dat deze gebruiker zich succesvol heeft geauthenticeerd. Een soort ideal, maar dan voor authenticatie. Zomaar een wild idee, om kosten te besparen…