Beveiliging 'grootverbruikers' DigiD schoot tekort

De beveiliging van een aantal sites die veel gebruikmaken van DigiD schoot tekort. Om welke beveiligingsproblemen het precies ging, wil het ministerie niet aangeven. Onder meer de Belastingdienst, het UWV en Studielink zijn 'grootverbruikers' van DigiD.

Digid-logoIn een brief aan de Tweede Kamer schrijft minister Plasterk van Binnenlandse Zaken dat de beveiliging van de 'grootverbruikers' van DigiD onder de loep is genomen. Daarbij kwamen 'bevindingen naar voren die aanleiding geven voor maatregelen tot verbetering op onderdelen', schrijft de minister. Om wat voor beveiligingsproblemen het ging, blijft onvermeld, maar het zou niet gaan om een 'zodanig serieus en acuut beveiligingsrisico' dat toegang tot DigiD moest worden afgesloten.

Grootverbruikers van DigiD zijn onder meer de Belastingdienst, Studielink, de Sociale Verzekeringsbank, en het UWV. In totaal gaat het om zes organisaties, die allemaal zijn doorgelicht op beveiliging. De problemen verschilden per organisatie. "Bij de een was er niets of haast niets aan de hand", zegt woordvoerder Frank Wassenaar van het Ministerie van Binnenlandse Zaken. "En bij de ander waren er een paar probleempjes." Inmiddels zijn de beveiligingsproblemen volgens de minister 'opgepakt'. Of dat betekent dat ze al zijn verholpen, is onduidelijk.

Wassenaar kan niet aangeven welke problemen bij welke organisatie speelden, en of sommige organisaties helemaal geen beveiligingsproblemen hadden. Daarnaast wil hij niet aangeven om wat voor beveiligingsproblemen het ging. "Daar doen we juist vanwege de beveiliging geen mededelingen over", aldus Wassenaar. Begin dit jaar haalde de overheid DigiD nog uit voorzorg offline, nadat een ernstig beveiligingsprobleem in Ruby on Rails opdook.

Door Joost Schellevis

Redacteur

Feedback • 22-03-2013 19:59 31

22-03-2013 • 19:59

31

Lees meer

Iers ministerie kon bij privégegevens veel Nederlanders via UWV
Iers ministerie kon bij privégegevens veel Nederlanders via UWV Nieuws van 4 december 2014
Ombudsman: Nederlanders in buitenland kunnen nu ook DigiD aanvragen
Ombudsman: Nederlanders in buitenland kunnen nu ook DigiD aanvragen Nieuws van 22 juli 2014
Minister: in 2017 alleen digitaal overheidscontact met burgers en bedrijven
Minister: in 2017 alleen digitaal overheidscontact met burgers en bedrijven Nieuws van 26 mei 2013
Ddos-problemen DigiD zijn nog niet voorbij
Ddos-problemen DigiD zijn nog niet voorbij Nieuws van 25 april 2013
Exploit voor ernstig Ruby on Rails-lek beschikbaar
Exploit voor ernstig Ruby on Rails-lek beschikbaar Nieuws van 10 januari 2013
Overheid zet DigiD weer online na patchen 'ernstig' beveiligingslek
Overheid zet DigiD weer online na patchen 'ernstig' beveiligingslek Nieuws van 10 januari 2013
Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update
Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update Nieuws van 9 januari 2013
DigiD kampt met login-problemen - update
DigiD kampt met login-problemen - update Nieuws van 21 mei 2012
Meer producten en artikelen
Netwerk en systeembeheer Politiek en recht

Reacties (31)

-Moderatie-faq
31
30
20
3
0
1
Wijzig sortering
SuBBaSS 22 maart 2013 21:02
Ik kan best begrijpen dat hier niet volledig open kaart over gespeeld kan worden, maar het totale downplayen van de problemen (tot het inzetten van verkleinwoordjes aan toe) van onze overheid geeft me jeuk die ik niet weg kan krabben.
Het is net als met branden (Moerdijk bijv. als extreem voorbeeld): gewoon blijven roepen dat er geen schadelijke gevolgen voor de volksgezondheid zijn terwijl de groen/bruine rook ervan af kwam.

Nee inderdaad, ik heb weinig vertrouwen in onze overheid en op IT-gebied al helemaal niet. Het staat me dan ook (nog steeds) helemaal niet aan dat zij verwacht dat de burger z'n hele hebben en houwen digitaal aan ze toevertrouwt terwijl meermaals is gebleken dat zijzelf de zaken niet voldoende kunnen faciliteren/beheren.
Helaas zijn er bijna geen alternatieven voor en moeten we wel, maar van harte gaat het niet wmb.

Hoe dan ook vind ik het wel goed dat hier op deze manier openheid over gegeven wordt, da's altijd beter dan het achteraf via een derde partij te moeten horen.
Het verbaast me dan ook enigszins dat Fox-IT niet in dit bericht genoemd wordt, die worden van hun kant immers overal bij betrokken op security-gebied maar dit keer niet?
Anoniem: 445817 @SuBBaSS22 maart 2013 22:50
Recent heb ik mij na terugkeer in Nederland ingeschreven bij de gemeente. Die heeft daarop alle gegevens die ze van mij hadden per post opgestuurd. Volgens de bijgesloten brief waren zij dat verplicht.

Dit is een flink pak papier en bevat al mijn adressen (ook vorige adressen), al mijn paspoort nummers (ook mijn vorige paspoorten), mijn BSN, geboorte datum, etc. maar ook de BSN, volledige naam/adres en geb. datum/plaats van mijn ouders.

Op zich is het een fijn idee dat ik mijn eigen gegevens kan inzien, maar op deze manier heeft het beste wachtwoord opeens geen zin meer. De envelop is vrij eenvoudig te herkennen door geinteresseerde post medewerkers en ik vermoed dat veel mensen de hele zooi gewoon bij het oud papier stoppen.

Al met al een ideaal pakketje papier voor identiteitsdieven.
rolandverh 22 maart 2013 21:00
Waar het bij dit soort onderzoek om gaat is vaak (ik weet het van dit onderzoek niet zeker, maar de brief spreekt niet van technisch onderzoek);
- zijn interne procedures goed vastgelegd en worden die regelmatig 'getest' en gecontroleerd
- zijn interne systemen goed beveiligd tegen ongeoorloofde toegang
- zijn interne systemen goed gemonitored, zodat je kunt volgen wat ermee gedaan wordt
- hebben de juiste mensen toegang en verder niemand, wordt dit regelmatig gecontroleerd (audit)
De overheid kan allerlei eisen stellen voor 'afnemers' van een dienst, wanneer bijvoorbeeld het UWV een DigiD authenticatie 'afneemt' van de overheid, wil de 'leverancier' zeker weten dat alle systemen die hiervan gebruik maken, fatsoenlijk werken. Te denken valt aan updates, controle op toegang, controle op virussen en malware in de rest van de organisatie.
Het gaat dus niet altijd om vastgestelde technische problemen.
De 'burger' hoeft ook niet per se te weten dat een organisatie niet alles op orde heeft. Die burger kan er geen misbruik van maken, want heeft toch geen toegang tot die systemen.
Uiteindelijk wil de burger (en dat is zijn goed recht) weten of een organisatie alles in het werk stelt om goed te beveiligen, dat wordt dan 'zichtbaar' door afgifte van een certificaat. Bij vastgestelde tekortkomingen, kan uiteindelijk dat certificaat weer ingetrokken worden.
Phoenix_the_II 22 maart 2013 20:02
Hebben wij niet als burger het recht om te weten welke instanties en welke lekken er waren? In plaats van: "Er is iets gebeurd, maar niks aan de hand hoor. We hebben het opgelost!"

[Reactie gewijzigd door Phoenix_the_II op 23 juli 2024 00:22]

sypie @Phoenix_the_II22 maart 2013 20:11
Op basis van de Wet Openbaarheid Bestuur zou je vast wel een brief kunnen schrijven hierover.
Niemand_Anders @sypie22 maart 2013 20:50
Aangezien je hier informatie wilt ontvangen van een actueel en nog lopend project zal je WOB aanvraag worden afgewezen in verband met lands belang.

De overheid heeft met deze mededeling voldaan aan haar informatie plicht en heeft aangegeven dat de problemen momenteel worden verholpen of dat mogelijk al zijn..

Ik ben niet helemaal op de hoogte van de WOB wet, maar volgens mij mag je wel een redelijke termijn stellen waarbinnen een probleem opgelost moet worden. Deze beveiligings problemen moeten zeker binnen 6 maanden zijn opgelost, dus rond Prinsjesdag zou je opnieuw een WOB verzoek kunnen doen waarin je vraagt om een update en het percentage gebruikers dat nog steeds niet voldoet..
BeosBeing @Anoniem: 14586723 maart 2013 11:40
Francisco Franco (Spanje, Facist)in ieder geval wel. Vandaar dat hij nog steeds een grote schare aanhangers heeft (in tegenstelling tot b.v. Stalin en Mussolini. Bij de kleine groep aanhangers van Hitler is waarschijnlijk een steekje los) zij vinden dat dat zwaarder telt als zijn fouten terwijl zijn tegenstanders vinden dat die zo erg zijn dat er niets goeds overblijft. (Ten tijde van de Spaanse burgeroorlog waren de 'republikeinen' waar hij tegen vocht pure communisten en werden die gesteund door Stalin en een grote groep individuele idealisten)

Ontopic: De problemen zijn opgepakt, dus men is nu (pas) bezig ze te verhelpen. Zolang de problemen niet zijn verholpen zijn de genoemde overheids-sites dus niet veilig en zal men terecht geen detaïls willen geven.

Als men echter stelt dat er bij sommige organisaties niets of haast niets aan de hand was, en er bij de andere een paar probleempjrs waren, dan is men duidelijk aan het bagateliseren, zoals ze ook als ze verklaren dat er geen risico's waren voor de volksgezondheid. Voorkomen van paniek en aanprakelijk stellen van de overheid is tegenwoordig eerste prioriteit.

Als er echt niets aan de hand is hoeft men er ook niets aan te doen, en met haast niets, of kleine probleempjes, dan kan men ook wel iets meer informatie geven zonder dat de beveiliging (verder) in het geding komt. Blijkbaar heeft men dusdanige grote dingen nagelaten of fout gedaan dat voorkomen moet worden dat het volk of de kamer verdere vragen gaat stellen.

Dat is dan niet in het belang van het land, maar uitsluitend in het belang van de zittende regering en diens (politieke) agenda.
Tupolev @Phoenix_the_II22 maart 2013 20:12
Ik ben geen rechtenspecialist, maar ik denk niet dat je dat recht hebt. :)
Maar dit geeft wel te denken, vooral gezien de weg die de overheid inslaat met het digitaal patienten dossier, enz.
Anoniem: 321197 @Tupolev22 maart 2013 20:17
Dat recht is er is wel , WOB, echter zijn er ook weer nuances in deze wet waardoor specifieke technische informatie niet perse openbaar gemaakt hoeft te worden
Marthyn1990 @Phoenix_the_II22 maart 2013 20:07
Ik denk meer dat het is om exploitatie te voorkomen. Zodra ze vertellen waar de lekken zitten zonder dat het opgelost is zijn we nog verder van huis!
B64 @Phoenix_the_II22 maart 2013 20:14
Met een beroep op de Wet Openbaarheid Bestuur moet dat wel boven water te krijgen zijn. Op zich snap ik wel dat ze details niet naar buiten willen brengen, nog niet alle DigiD-gebruikers zijn onderzocht dus kan het zijn dat bij andere instanties dezelfde problemen zijn.
TheGhostInc @Phoenix_the_II23 maart 2013 11:03
welke lekken er waren?
Je doet de aanname dat er sprake is van een lek, wat betekent dat er een direct technisch risico zou zijn, maar een beveiligingsprobleem kan ook in de organisatie zitten.

Bijvoorbeeld: Welk nummer is 24/7 bereikbaar in geval van calamiteiten? En wie is beslissingsbevoegd om de site neer te halen in geval van een probleem en wat als die niet bereikbaar is.... En is die informatie beschikbaar voor iedereen die het moet weten.

Hier op tweakers.net denken we dat beveiliging vooral in cross-scripting zit en AES etc. terwijl er juist een vangnet moet zijn om met dit soort technische problemen goed om te gaan. Er kan altijd iemand een fout maken, dat is menselijk, maar hoe ga je daar als organisatie mee om? Als de stagiair roept dat er een probleem is, wordt zij dan nog serieus genomen, of slaapt iedereen door?
SmiGueL 22 maart 2013 21:15
Misschien heeft het er iets mee te maken dat je bij het inloggen op de site van de belastingdienst kan KIEZEN of je alleen een wachtwoord in wilt voeren of ook een SMS code wilt krijgen?

Wat heeft die SMS code voor zin als je deze extra beveiligingslaag kunt skippen tijdens het aanmelden? 8)7

[Reactie gewijzigd door SmiGueL op 23 juli 2024 00:22]

Jasper Janssen @SmiGueL23 maart 2013 14:00
Je kan op digid.nl aangeven dat jouw account alleen 2 factor mag inloggen, dan doet die keuze niets meer.

Maar het is inderdaad een slecht ontworpen systeem wat dat betreft.
Rutix @SmiGueL23 maart 2013 15:14
Je weet dan blijkbaar niet hoe DigiD werkt. DigiD heeft bepaalde betrouwbaarheids lagen. Bijvoorbeeld als je net een DigiD aan hebt gevraagd en je moet de brief met de activatie code ect. nog ontvangen heb je betrouwbaarheids niveau 5 en mag je niks. Als je met sms inlogt kan het best zijn dat je betrouwbaarheids niveau 2 hebt en alleen met wachtwoord 3 of 4. De organisatie die hiervan gebruikt maakt kan dus best meer informatie beschikbaar stellen voor niveau 2 en die niet tonen voor niveau 3 en 4. Het is dus allemaal een afweging.
erikmeuk3 @SmiGueL23 maart 2013 16:51
Als je de SMS dienst aan hebt staan kun je kiezen met of zonder SMS.
Voor hoger beveilgde sites is de SMS verplicht en kom je er zonder de SMS niet in.
Wel moet je regelmatig gebruik maken van de SMS functie om hem geldig te houden.
Vandaar de keuze wel/niet
Ook kun je er zelf voor kiezen dat inloggen voor alle diensten verplicht "met SMS" is.

[Reactie gewijzigd door erikmeuk3 op 23 juli 2024 00:22]

BdK9001 @SmiGueL22 maart 2013 21:30
Je was me voor, ik verbaasde me hier gister ook al over... Bij Duo en Studielink is het verplicht, terwijl je daar op zich minder schade aan kan richten
Mijzelf @SmiGueL22 maart 2013 23:19
En wat heeft een SMS code voor zin als je geen manier hebt om die te ontvangen?
jongetje @SmiGueL23 maart 2013 09:27
Dat heb ik ook altijd vreemd gevonden. Waarom zou ik met username, wachtwoord en SMS inloggen als ik ook gewoon met mijn username en wachtwoord zonder SMS kan inloggen.
hfad 22 maart 2013 20:08
Als ze het bekend maken, zal het ook bekend worden bij de vekeerde personen, die daar misbruik van kunnen maken. Dus dat ze de zwakheden niet bekend willen maken is wel begrijpelijk.
BoGu5 22 maart 2013 20:41
Security through obscurity, topidee!
Moartn @BoGu522 maart 2013 20:52
Dat is inderdaad geen goed idee, maar met het andere uiterste, exact uitleggen wat er mis was (of is) schiet je ook weinig op. Er is geen enkele reden om dat te doen.

Obscurity is prima, zolang het maar niet de enige manier van beveiligen is.
j-phone @Moartn22 maart 2013 22:32
Precies uitleggen is een prima idee. Wanneer Google wedstrijden uitschrijft om haar software te laten testen om alles te beter te beveiligen en dit direct patcht, zie ik niet in waarom een overheid dit niet voor elkaar krijgt. Het gaat hier wel om gegevens waarvan een burger verwacht dat een overheid dit kan beschermen, zo niet dan zie ik mijn belasting centen liever besteed aan een systeem wat wel veilig werkt, desnoods op de oude manier.

Obscurity is nooit prima, wanneer je dat wel vindt dan ben jij degene waarvan de lekken gevonden worden.
Rutix @j-phone23 maart 2013 15:10
Er zijn ook zat exploits die Google niet bekend maakt tot ze een patch hebben uitgerold. Elk bedrijf doet dit om de kennis over de exploit te beperken terwijl ze bezig zijn om het te fixen. Obscurity is in dit geval wel prima, want ze zijn ermee bezig en proberen het misbruiken van die exploits te beperken. Enige reden waarom sommige mensen het willen weten is om degene waar de lek zit af te kraken.
mister123 22 maart 2013 21:28
O de belasting dienst erg zeg dadelijk kunnen we geen belasting meer betalen :)
j-phone @mister12322 maart 2013 22:34
En stort het sociale stelsel in elkaar...
hoeschrijfjedit @mister12324 maart 2013 09:23
Alle financiele informatie van alle inwoners van nederland is wss. leesbaar.

Aangezien ze je inkomsten zo op het scherm uitkotsen als je inlogd, opzich niet erg voor jan modaal want daar is minder interesse voor.

Nu kunnen enkele een wob doen op je sofinummer :-)
IndoBoy 22 maart 2013 23:58
Goh, is dit nieuw nieuws? Al vanaf de introductie van DigiD was al bekend dat de beveiliging niet je van het is en dan doen alsof dit nieuw is. Verder erg onverantwoordelijk dat DigiiD is doorgedrukt wetende dat de beveiliging niet optimaal is. Het gaat om allemaal gegevens van de bevolking.
blobber 23 maart 2013 09:35
Laat ik optimistisch blijven, ondanks alle problemen, ben ik blij dat de minister nu maatregelen getroffen heeft :)
William_H 25 maart 2013 01:19
Beetje oftopic misschien, maar het ergste vind ik dat je geen alternatief hebt voor DigiD. Als ik daar niet gebruik van wil maken dan kan dat niet. Bijvoorbeeld Studielink wat je verplicht moet gebruiken als student om je bij sommige instellingen te kunnen inschrijven. Waarom moet ik daarvoor een DigiD gebruiken? Er was in het begin een aparte inlog voor Studielink, geen enkel probleem. Ik vraag mij ook af welk probleem er soms wordt opgelost door alles maar gebruik te laten maken van DigiD. SPOF kreeg je laatst dus toen met de Ruby on Rails problemen, wat meteen betekende dat je in alle sites niet kon. Ook niet die van bijv. Studielink, terwijl je daar met deadlines te maken hebt. In die periode kon ik dus niet meer met mijn oude Studielink inlog inloggen. Terwijl bijv. menig site dubbele inlogmethodes accepteerd. Bijv. Facebook, Google+, OpenID en zijn eigen inloggegevens. Waarom dit niet kan begrijp ik niet helemaal. En dat is in mijn ogen het grote probleem van de overheid en sommige zaken wat tot Kafkaiaanse toestanden leidt, de overheid begrijpt soms te weinig dat er geen alternatief voor zijn 'diensten' zijn voor burgers terwijl men wel van alles eist van die burger waaraan ze dient te voldoen (binnen de gestelde tijd).
Met bijv. DUO (Dienst Uitvoering Onderwijs, ond. van Ministerie van OCW) heb je bijv. nog wel steeds de keuze uit digitaal en papier. Hopelijk houden ze die keuze, omdat wanneer je dit niet doet en een systeem langer uitvalt je altijd kan terugvallen op dit 'redunante' oude systeem. En soms werkt het ook gewoon nog sneller.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq