Beveiliging 'grootverbruikers' DigiD schoot tekort
De beveiliging van een aantal sites die veel gebruikmaken van DigiD schoot tekort. Om welke beveiligingsproblemen het precies ging, wil het ministerie niet aangeven. Onder meer de Belastingdienst, het UWV en Studielink zijn 'grootverbruikers' van DigiD.
In een brief aan de Tweede Kamer schrijft minister Plasterk van Binnenlandse Zaken dat de beveiliging van de 'grootverbruikers' van DigiD onder de loep is genomen. Daarbij kwamen 'bevindingen naar voren die aanleiding geven voor maatregelen tot verbetering op onderdelen', schrijft de minister. Om wat voor beveiligingsproblemen het ging, blijft onvermeld, maar het zou niet gaan om een 'zodanig serieus en acuut beveiligingsrisico' dat toegang tot DigiD moest worden afgesloten.
Grootverbruikers van DigiD zijn onder meer de Belastingdienst, Studielink, de Sociale Verzekeringsbank, en het UWV. In totaal gaat het om zes organisaties, die allemaal zijn doorgelicht op beveiliging. De problemen verschilden per organisatie. "Bij de een was er niets of haast niets aan de hand", zegt woordvoerder Frank Wassenaar van het Ministerie van Binnenlandse Zaken. "En bij de ander waren er een paar probleempjes." Inmiddels zijn de beveiligingsproblemen volgens de minister 'opgepakt'. Of dat betekent dat ze al zijn verholpen, is onduidelijk.
Wassenaar kan niet aangeven welke problemen bij welke organisatie speelden, en of sommige organisaties helemaal geen beveiligingsproblemen hadden. Daarnaast wil hij niet aangeven om wat voor beveiligingsproblemen het ging. "Daar doen we juist vanwege de beveiliging geen mededelingen over", aldus Wassenaar. Begin dit jaar haalde de overheid DigiD nog uit voorzorg offline, nadat een ernstig beveiligingsprobleem in Ruby on Rails opdook.
Reacties (31)
Hebben wij niet als burger het recht om te weten welke instanties en welke lekken er waren? In plaats van: "Er is iets gebeurd, maar niks aan de hand hoor. We hebben het opgelost!"
[Reactie gewijzigd door Phoenix_the_II op vrijdag 22 maart 2013 20:03]
Ik denk meer dat het is om exploitatie te voorkomen. Zodra ze vertellen waar de lekken zitten zonder dat het opgelost is zijn we nog verder van huis!
Op basis van de Wet Openbaarheid Bestuur zou je vast wel een brief kunnen schrijven hierover.
Aangezien je hier informatie wilt ontvangen van een actueel en nog lopend project zal je WOB aanvraag worden afgewezen in verband met lands belang.
De overheid heeft met deze mededeling voldaan aan haar informatie plicht en heeft aangegeven dat de problemen momenteel worden verholpen of dat mogelijk al zijn..
Ik ben niet helemaal op de hoogte van de WOB wet, maar volgens mij mag je wel een redelijke termijn stellen waarbinnen een probleem opgelost moet worden. Deze beveiligings problemen moeten zeker binnen 6 maanden zijn opgelost, dus rond Prinsjesdag zou je opnieuw een WOB verzoek kunnen doen waarin je vraagt om een update en het percentage gebruikers dat nog steeds niet voldoet..
De overheid heeft met deze mededeling voldaan aan haar informatie plicht en heeft aangegeven dat de problemen momenteel worden verholpen of dat mogelijk al zijn..
Ik ben niet helemaal op de hoogte van de WOB wet, maar volgens mij mag je wel een redelijke termijn stellen waarbinnen een probleem opgelost moet worden. Deze beveiligings problemen moeten zeker binnen 6 maanden zijn opgelost, dus rond Prinsjesdag zou je opnieuw een WOB verzoek kunnen doen waarin je vraagt om een update en het percentage gebruikers dat nog steeds niet voldoet..
Francisco Franco (Spanje, Facist)in ieder geval wel. Vandaar dat hij nog steeds een grote schare aanhangers heeft (in tegenstelling tot b.v. Stalin en Mussolini. Bij de kleine groep aanhangers van Hitler is waarschijnlijk een steekje los) zij vinden dat dat zwaarder telt als zijn fouten terwijl zijn tegenstanders vinden dat die zo erg zijn dat er niets goeds overblijft. (Ten tijde van de Spaanse burgeroorlog waren de 'republikeinen' waar hij tegen vocht pure communisten en werden die gesteund door Stalin en een grote groep individuele idealisten)
Ontopic: De problemen zijn opgepakt, dus men is nu (pas) bezig ze te verhelpen. Zolang de problemen niet zijn verholpen zijn de genoemde overheids-sites dus niet veilig en zal men terecht geen detaïls willen geven.
Als men echter stelt dat er bij sommige organisaties niets of haast niets aan de hand was, en er bij de andere een paar probleempjrs waren, dan is men duidelijk aan het bagateliseren, zoals ze ook als ze verklaren dat er geen risico's waren voor de volksgezondheid. Voorkomen van paniek en aanprakelijk stellen van de overheid is tegenwoordig eerste prioriteit.
Als er echt niets aan de hand is hoeft men er ook niets aan te doen, en met haast niets, of kleine probleempjes, dan kan men ook wel iets meer informatie geven zonder dat de beveiliging (verder) in het geding komt. Blijkbaar heeft men dusdanige grote dingen nagelaten of fout gedaan dat voorkomen moet worden dat het volk of de kamer verdere vragen gaat stellen.
Dat is dan niet in het belang van het land, maar uitsluitend in het belang van de zittende regering en diens (politieke) agenda.
Ontopic: De problemen zijn opgepakt, dus men is nu (pas) bezig ze te verhelpen. Zolang de problemen niet zijn verholpen zijn de genoemde overheids-sites dus niet veilig en zal men terecht geen detaïls willen geven.
Als men echter stelt dat er bij sommige organisaties niets of haast niets aan de hand was, en er bij de andere een paar probleempjrs waren, dan is men duidelijk aan het bagateliseren, zoals ze ook als ze verklaren dat er geen risico's waren voor de volksgezondheid. Voorkomen van paniek en aanprakelijk stellen van de overheid is tegenwoordig eerste prioriteit.
Als er echt niets aan de hand is hoeft men er ook niets aan te doen, en met haast niets, of kleine probleempjes, dan kan men ook wel iets meer informatie geven zonder dat de beveiliging (verder) in het geding komt. Blijkbaar heeft men dusdanige grote dingen nagelaten of fout gedaan dat voorkomen moet worden dat het volk of de kamer verdere vragen gaat stellen.
Dat is dan niet in het belang van het land, maar uitsluitend in het belang van de zittende regering en diens (politieke) agenda.
Ik ben geen rechtenspecialist, maar ik denk niet dat je dat recht hebt. 
Maar dit geeft wel te denken, vooral gezien de weg die de overheid inslaat met het digitaal patienten dossier, enz.
Maar dit geeft wel te denken, vooral gezien de weg die de overheid inslaat met het digitaal patienten dossier, enz.
Dat recht is er is wel , WOB, echter zijn er ook weer nuances in deze wet waardoor specifieke technische informatie niet perse openbaar gemaakt hoeft te worden
Met een beroep op de Wet Openbaarheid Bestuur moet dat wel boven water te krijgen zijn. Op zich snap ik wel dat ze details niet naar buiten willen brengen, nog niet alle DigiD-gebruikers zijn onderzocht dus kan het zijn dat bij andere instanties dezelfde problemen zijn.
Je doet de aanname dat er sprake is van een lek, wat betekent dat er een direct technisch risico zou zijn, maar een beveiligingsprobleem kan ook in de organisatie zitten.welke lekken er waren?
Bijvoorbeeld: Welk nummer is 24/7 bereikbaar in geval van calamiteiten? En wie is beslissingsbevoegd om de site neer te halen in geval van een probleem en wat als die niet bereikbaar is.... En is die informatie beschikbaar voor iedereen die het moet weten.
Hier op tweakers.net denken we dat beveiliging vooral in cross-scripting zit en AES etc. terwijl er juist een vangnet moet zijn om met dit soort technische problemen goed om te gaan. Er kan altijd iemand een fout maken, dat is menselijk, maar hoe ga je daar als organisatie mee om? Als de stagiair roept dat er een probleem is, wordt zij dan nog serieus genomen, of slaapt iedereen door?
Als ze het bekend maken, zal het ook bekend worden bij de vekeerde personen, die daar misbruik van kunnen maken. Dus dat ze de zwakheden niet bekend willen maken is wel begrijpelijk.
Security through obscurity, topidee!
Dat is inderdaad geen goed idee, maar met het andere uiterste, exact uitleggen wat er mis was (of is) schiet je ook weinig op. Er is geen enkele reden om dat te doen.
Obscurity is prima, zolang het maar niet de enige manier van beveiligen is.
Obscurity is prima, zolang het maar niet de enige manier van beveiligen is.
Precies uitleggen is een prima idee. Wanneer Google wedstrijden uitschrijft om haar software te laten testen om alles te beter te beveiligen en dit direct patcht, zie ik niet in waarom een overheid dit niet voor elkaar krijgt. Het gaat hier wel om gegevens waarvan een burger verwacht dat een overheid dit kan beschermen, zo niet dan zie ik mijn belasting centen liever besteed aan een systeem wat wel veilig werkt, desnoods op de oude manier.
Obscurity is nooit prima, wanneer je dat wel vindt dan ben jij degene waarvan de lekken gevonden worden.
Obscurity is nooit prima, wanneer je dat wel vindt dan ben jij degene waarvan de lekken gevonden worden.
Er zijn ook zat exploits die Google niet bekend maakt tot ze een patch hebben uitgerold. Elk bedrijf doet dit om de kennis over de exploit te beperken terwijl ze bezig zijn om het te fixen. Obscurity is in dit geval wel prima, want ze zijn ermee bezig en proberen het misbruiken van die exploits te beperken. Enige reden waarom sommige mensen het willen weten is om degene waar de lek zit af te kraken.
Waar het bij dit soort onderzoek om gaat is vaak (ik weet het van dit onderzoek niet zeker, maar de brief spreekt niet van technisch onderzoek);
- zijn interne procedures goed vastgelegd en worden die regelmatig 'getest' en gecontroleerd
- zijn interne systemen goed beveiligd tegen ongeoorloofde toegang
- zijn interne systemen goed gemonitored, zodat je kunt volgen wat ermee gedaan wordt
- hebben de juiste mensen toegang en verder niemand, wordt dit regelmatig gecontroleerd (audit)
De overheid kan allerlei eisen stellen voor 'afnemers' van een dienst, wanneer bijvoorbeeld het UWV een DigiD authenticatie 'afneemt' van de overheid, wil de 'leverancier' zeker weten dat alle systemen die hiervan gebruik maken, fatsoenlijk werken. Te denken valt aan updates, controle op toegang, controle op virussen en malware in de rest van de organisatie.
Het gaat dus niet altijd om vastgestelde technische problemen.
De 'burger' hoeft ook niet per se te weten dat een organisatie niet alles op orde heeft. Die burger kan er geen misbruik van maken, want heeft toch geen toegang tot die systemen.
Uiteindelijk wil de burger (en dat is zijn goed recht) weten of een organisatie alles in het werk stelt om goed te beveiligen, dat wordt dan 'zichtbaar' door afgifte van een certificaat. Bij vastgestelde tekortkomingen, kan uiteindelijk dat certificaat weer ingetrokken worden.
- zijn interne procedures goed vastgelegd en worden die regelmatig 'getest' en gecontroleerd
- zijn interne systemen goed beveiligd tegen ongeoorloofde toegang
- zijn interne systemen goed gemonitored, zodat je kunt volgen wat ermee gedaan wordt
- hebben de juiste mensen toegang en verder niemand, wordt dit regelmatig gecontroleerd (audit)
De overheid kan allerlei eisen stellen voor 'afnemers' van een dienst, wanneer bijvoorbeeld het UWV een DigiD authenticatie 'afneemt' van de overheid, wil de 'leverancier' zeker weten dat alle systemen die hiervan gebruik maken, fatsoenlijk werken. Te denken valt aan updates, controle op toegang, controle op virussen en malware in de rest van de organisatie.
Het gaat dus niet altijd om vastgestelde technische problemen.
De 'burger' hoeft ook niet per se te weten dat een organisatie niet alles op orde heeft. Die burger kan er geen misbruik van maken, want heeft toch geen toegang tot die systemen.
Uiteindelijk wil de burger (en dat is zijn goed recht) weten of een organisatie alles in het werk stelt om goed te beveiligen, dat wordt dan 'zichtbaar' door afgifte van een certificaat. Bij vastgestelde tekortkomingen, kan uiteindelijk dat certificaat weer ingetrokken worden.
Ik kan best begrijpen dat hier niet volledig open kaart over gespeeld kan worden, maar het totale downplayen van de problemen (tot het inzetten van verkleinwoordjes aan toe) van onze overheid geeft me jeuk die ik niet weg kan krabben.
Het is net als met branden (Moerdijk bijv. als extreem voorbeeld): gewoon blijven roepen dat er geen schadelijke gevolgen voor de volksgezondheid zijn terwijl de groen/bruine rook ervan af kwam.
Nee inderdaad, ik heb weinig vertrouwen in onze overheid en op IT-gebied al helemaal niet. Het staat me dan ook (nog steeds) helemaal niet aan dat zij verwacht dat de burger z'n hele hebben en houwen digitaal aan ze toevertrouwt terwijl meermaals is gebleken dat zijzelf de zaken niet voldoende kunnen faciliteren/beheren.
Helaas zijn er bijna geen alternatieven voor en moeten we wel, maar van harte gaat het niet wmb.
Hoe dan ook vind ik het wel goed dat hier op deze manier openheid over gegeven wordt, da's altijd beter dan het achteraf via een derde partij te moeten horen.
Het verbaast me dan ook enigszins dat Fox-IT niet in dit bericht genoemd wordt, die worden van hun kant immers overal bij betrokken op security-gebied maar dit keer niet?
Het is net als met branden (Moerdijk bijv. als extreem voorbeeld): gewoon blijven roepen dat er geen schadelijke gevolgen voor de volksgezondheid zijn terwijl de groen/bruine rook ervan af kwam.
Nee inderdaad, ik heb weinig vertrouwen in onze overheid en op IT-gebied al helemaal niet. Het staat me dan ook (nog steeds) helemaal niet aan dat zij verwacht dat de burger z'n hele hebben en houwen digitaal aan ze toevertrouwt terwijl meermaals is gebleken dat zijzelf de zaken niet voldoende kunnen faciliteren/beheren.
Helaas zijn er bijna geen alternatieven voor en moeten we wel, maar van harte gaat het niet wmb.
Hoe dan ook vind ik het wel goed dat hier op deze manier openheid over gegeven wordt, da's altijd beter dan het achteraf via een derde partij te moeten horen.
Het verbaast me dan ook enigszins dat Fox-IT niet in dit bericht genoemd wordt, die worden van hun kant immers overal bij betrokken op security-gebied maar dit keer niet?
Recent heb ik mij na terugkeer in Nederland ingeschreven bij de gemeente. Die heeft daarop alle gegevens die ze van mij hadden per post opgestuurd. Volgens de bijgesloten brief waren zij dat verplicht.
Dit is een flink pak papier en bevat al mijn adressen (ook vorige adressen), al mijn paspoort nummers (ook mijn vorige paspoorten), mijn BSN, geboorte datum, etc. maar ook de BSN, volledige naam/adres en geb. datum/plaats van mijn ouders.
Op zich is het een fijn idee dat ik mijn eigen gegevens kan inzien, maar op deze manier heeft het beste wachtwoord opeens geen zin meer. De envelop is vrij eenvoudig te herkennen door geinteresseerde post medewerkers en ik vermoed dat veel mensen de hele zooi gewoon bij het oud papier stoppen.
Al met al een ideaal pakketje papier voor identiteitsdieven.
Dit is een flink pak papier en bevat al mijn adressen (ook vorige adressen), al mijn paspoort nummers (ook mijn vorige paspoorten), mijn BSN, geboorte datum, etc. maar ook de BSN, volledige naam/adres en geb. datum/plaats van mijn ouders.
Op zich is het een fijn idee dat ik mijn eigen gegevens kan inzien, maar op deze manier heeft het beste wachtwoord opeens geen zin meer. De envelop is vrij eenvoudig te herkennen door geinteresseerde post medewerkers en ik vermoed dat veel mensen de hele zooi gewoon bij het oud papier stoppen.
Al met al een ideaal pakketje papier voor identiteitsdieven.
Misschien heeft het er iets mee te maken dat je bij het inloggen op de site van de belastingdienst kan KIEZEN of je alleen een wachtwoord in wilt voeren of ook een SMS code wilt krijgen?
Wat heeft die SMS code voor zin als je deze extra beveiligingslaag kunt skippen tijdens het aanmelden?
Wat heeft die SMS code voor zin als je deze extra beveiligingslaag kunt skippen tijdens het aanmelden?
[Reactie gewijzigd door SmiGueL op zaterdag 23 maart 2013 01:09]
Je was me voor, ik verbaasde me hier gister ook al over... Bij Duo en Studielink is het verplicht, terwijl je daar op zich minder schade aan kan richten
En wat heeft een SMS code voor zin als je geen manier hebt om die te ontvangen?
Dat heb ik ook altijd vreemd gevonden. Waarom zou ik met username, wachtwoord en SMS inloggen als ik ook gewoon met mijn username en wachtwoord zonder SMS kan inloggen.
Je kan op digid.nl aangeven dat jouw account alleen 2 factor mag inloggen, dan doet die keuze niets meer.
Maar het is inderdaad een slecht ontworpen systeem wat dat betreft.
Maar het is inderdaad een slecht ontworpen systeem wat dat betreft.
Je weet dan blijkbaar niet hoe DigiD werkt. DigiD heeft bepaalde betrouwbaarheids lagen. Bijvoorbeeld als je net een DigiD aan hebt gevraagd en je moet de brief met de activatie code ect. nog ontvangen heb je betrouwbaarheids niveau 5 en mag je niks. Als je met sms inlogt kan het best zijn dat je betrouwbaarheids niveau 2 hebt en alleen met wachtwoord 3 of 4. De organisatie die hiervan gebruikt maakt kan dus best meer informatie beschikbaar stellen voor niveau 2 en die niet tonen voor niveau 3 en 4. Het is dus allemaal een afweging.
Als je de SMS dienst aan hebt staan kun je kiezen met of zonder SMS.
Voor hoger beveilgde sites is de SMS verplicht en kom je er zonder de SMS niet in.
Wel moet je regelmatig gebruik maken van de SMS functie om hem geldig te houden.
Vandaar de keuze wel/niet
Ook kun je er zelf voor kiezen dat inloggen voor alle diensten verplicht "met SMS" is.
Voor hoger beveilgde sites is de SMS verplicht en kom je er zonder de SMS niet in.
Wel moet je regelmatig gebruik maken van de SMS functie om hem geldig te houden.
Vandaar de keuze wel/niet
Ook kun je er zelf voor kiezen dat inloggen voor alle diensten verplicht "met SMS" is.
[Reactie gewijzigd door erikmeuk3 op zaterdag 23 maart 2013 17:01]
O de belasting dienst erg zeg dadelijk kunnen we geen belasting meer betalen
En stort het sociale stelsel in elkaar...
Alle financiele informatie van alle inwoners van nederland is wss. leesbaar.
Aangezien ze je inkomsten zo op het scherm uitkotsen als je inlogd, opzich niet erg voor jan modaal want daar is minder interesse voor.
Nu kunnen enkele een wob doen op je sofinummer :-)
Aangezien ze je inkomsten zo op het scherm uitkotsen als je inlogd, opzich niet erg voor jan modaal want daar is minder interesse voor.
Nu kunnen enkele een wob doen op je sofinummer :-)
Goh, is dit nieuw nieuws? Al vanaf de introductie van DigiD was al bekend dat de beveiliging niet je van het is en dan doen alsof dit nieuw is. Verder erg onverantwoordelijk dat DigiiD is doorgedrukt wetende dat de beveiliging niet optimaal is. Het gaat om allemaal gegevens van de bevolking.
Laat ik optimistisch blijven, ondanks alle problemen, ben ik blij dat de minister nu maatregelen getroffen heeft
Beetje oftopic misschien, maar het ergste vind ik dat je geen alternatief hebt voor DigiD. Als ik daar niet gebruik van wil maken dan kan dat niet. Bijvoorbeeld Studielink wat je verplicht moet gebruiken als student om je bij sommige instellingen te kunnen inschrijven. Waarom moet ik daarvoor een DigiD gebruiken? Er was in het begin een aparte inlog voor Studielink, geen enkel probleem. Ik vraag mij ook af welk probleem er soms wordt opgelost door alles maar gebruik te laten maken van DigiD. SPOF kreeg je laatst dus toen met de Ruby on Rails problemen, wat meteen betekende dat je in alle sites niet kon. Ook niet die van bijv. Studielink, terwijl je daar met deadlines te maken hebt. In die periode kon ik dus niet meer met mijn oude Studielink inlog inloggen. Terwijl bijv. menig site dubbele inlogmethodes accepteerd. Bijv. Facebook, Google+, OpenID en zijn eigen inloggegevens. Waarom dit niet kan begrijp ik niet helemaal. En dat is in mijn ogen het grote probleem van de overheid en sommige zaken wat tot Kafkaiaanse toestanden leidt, de overheid begrijpt soms te weinig dat er geen alternatief voor zijn 'diensten' zijn voor burgers terwijl men wel van alles eist van die burger waaraan ze dient te voldoen (binnen de gestelde tijd).
Met bijv. DUO (Dienst Uitvoering Onderwijs, ond. van Ministerie van OCW) heb je bijv. nog wel steeds de keuze uit digitaal en papier. Hopelijk houden ze die keuze, omdat wanneer je dit niet doet en een systeem langer uitvalt je altijd kan terugvallen op dit 'redunante' oude systeem. En soms werkt het ook gewoon nog sneller.
Met bijv. DUO (Dienst Uitvoering Onderwijs, ond. van Ministerie van OCW) heb je bijv. nog wel steeds de keuze uit digitaal en papier. Hopelijk houden ze die keuze, omdat wanneer je dit niet doet en een systeem langer uitvalt je altijd kan terugvallen op dit 'redunante' oude systeem. En soms werkt het ook gewoon nog sneller.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
