DigiD: beveiliging is van later zorg

22 oktober 2010

Er zijn nauwelijks beveiligingseisen voor het SMS-gedeelte van de DigiD-authenticatie, toch stelt BZK dat de garanties er wel zijn. Andere beveiliging is van later zorg. Dat bleek tijdens de rechtszitting, die aangespannen was door het bedrijf Golden Bytes BV tegen Binnenlandse Zaken (BZK). Deze onderneming levert nu de SMS-berichten van de overheid af en was een van de inschrijvers op de nieuwe aanbesteding, waaruit nu bijna alle beveiligingseisen zijn verdwenen. ‘Er is gekozen voor prijs en niet voor veiligheid’, concludeert Frederik van Nouhuys, advocaat van Golden Bytes. Zijn klant verloor de opdracht, omdat het bedrijf op een bedrag van ongeveer 900.000 euro een kleine 18.000 euro duurder was dan de winnaar. De prijs is alleen incompleet, omdat er nog veel beveiligingseisen aan de opdracht worden toegevoegd. Van Nouhuys vreest dat inbrengen van beveiliging in een later stadium wel eens een half miljoen kan gaan kosten en daarmee zoveel kosten zijn gemoeid dat de onderhandse opdracht wel erg groot is. Daarmee overtreedt de overheid de wet en zou de aanbesteding niet mogen doorgaan.


Onzin vindt de landsadvocaat. Zij benadrukt dat onderdeel van de aanbesteding is dat beveiligingswijzigingen kunnen worden doorgevoerd. ‘In de techniek verandert veel en niet alles kun je voorzien’, stelt ze dan ook. Precies dat is de reden dat er geen harde beveiligingseisen zijn gesteld. De overheid heeft vooral functionele eisen opgesteld, waardoor de leverancier de vrije hand krijgt in hoe die precies worden ingevuld. Daarbij trekt zij de parallel met de bouw, waar dit ook meer en meer in zwang zou raken. ‘Dat is iets wat de markt heeft gevraagd’. Belangrijk daarbij is de eis dat er een beschikbaarheid van 99,8 procent wordt geëist. Daaruit vloeit volgens BZK dan ook voort dat er maatregelen worden genomen. En al worden ze niet gevraagd, toch bedoelt de overheid wel veilig te werken. Ook kan de overheid bij twijfel een audit uitvoeren en gaat men in het contract wel van gescreend personeel uit. ‘Beschikbaarheid dekt niet alles. 99,8 procent beschikbaarheid betekent dat je drie dagen kunt platliggen. Dat is veel’, beweert de advocaat van Golden Bytes. ‘Als een server uit een kippenhok wordt gestolen en je vervangt hem binnen twee uur dan is er niets aan de hand’. Ook veegt hij de vloer aan met de audits. ‘Dan moet er reden tot twijfel zijn en dat spitst zich toe op alleen dat onderdeel waar twijfel over is’, vertelt hij. Ook blijft hij kritisch over het niet waarborgen van kwaliteit met ITIL. De landsadvocaat wijst er fijntjes op dat ITIL bestaat uit aanbevelingen en dat er geen harde verplichtingen zijn. Volgens haar zitten onderdelen van ITIL verkapt in de opdracht. De landsadvocaat stelt verder dat de SMS-dienst weliswaar authenticatie ondersteunt, maar geen authenticatie is. Natuurlijk is het niet de bedoeling dat een bericht uitlekt. Maar als een tijdelijke code in verkeerde handen valt, dan zal het gevolg niet erger zijn dan dat een burger niet kan inloggen. Met de risico’s valt het allemaal wel mee. Dat ontkent de SMS-leverancier. De rechter doet op 1 november uitspraak. Dan moet duidelijk worden of de aanbesteding van de SMS-dienst opnieuw moet. Over de veiligheid hoeft de magistraat zich niet uit te laten. Na de zitting hulde BZK en de landsadvocaat zich weer in schimmig stilzwijgen. Zelfs de openbaar uitgesproken pleitnota werd angstvallig geheimhouden. ‘Dat is vertrouwelijk’, zei een van de advocates, die zich weigerden voor te stellen. In een later telefoongesprek stelde BZK dat het na de uitspraak opheldering zou geven over de bescherming van de burgerinformatie. En met dit ‘schimmig’ gedoe moet het vertrouwen toenemen ?

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *