12 oktober 2010

De overheid ziet ervan af om de toegang tot DigiD afdoende te beveiligen. De problemen spelen bij de dienstverlening om SMS-berichten te sturen, die door de overheid recentelijk is aanbesteed. Daarbij is gekozen met één criterium: de prijs. Het gaat niet alleen over gewone SMS-berichten, maar ook over over de beveiligde codes voor het aanmelden met DigiD. Daarmee meldt een gebruiker zich aan voor het zaken doen met de overheid en tot voor kort werd ook serieus overwogen om hiermee de medische gegevens voor het Elektronisch Patiëntendossier (EPD) toegankelijk te maken. Die inzage struikelde juist op de gebrekkige beveiliging van SMS-authenticatie. Werd bij de vorige aanbesteding nog gevraagd dat alleen gescreend personeel mag worden ingezet, inmiddels is die eis vervallen. In theorie kan iedereen de beveiligde toegang beheren: van onkundig beheerder tot veroordeeld identiteitsfraudeur. Ook is de eis vervallen dat de systemen volgens voor de overheid gangbare procedure moeten worden beheerd. De nieuwe leverancier hoeft zich niet meer aan ITIL of andere methodologieën te houden, waardoor het onduidelijk is hoe het systeembeheer vorm krijgt. Eerdere eisen over hoe logboeken worden beheerd, de verplichting om verkeer tussen DigiD en de SMS Gateway te versleutelen en het houden van regelmatige Rijksaudits, zijn in die nieuwe aanbesteding niet meer te vinden.

Het meest opvallend is wel het minimaliseren van de eisen aan het datacenter. Er wordt alleen geëist dat de beschikbaarheid 99,8 procent per maand is. Dat moet geregeld worden door slechts gebruik te maken van een datacenter dat Tier-3 is gecertificeerd (dus 99,982% beschikbaar) of door gebruik te maken van twee locaties minimaal vijf kilometer uit elkaar voor de Tier-2 eisen. ‘Dat betekent concreet dat je kunt voldoen door twee kippenhokken op voldoende afstand te nemen’, vertelt een bron betrokken bij de aanbesteding, die benadrukt dat voor de precieze inrichting verder geen harde eisen gelden. Daarbij wijst hij erop dat dit met de kwaliteit van Nederlandse stroomvoorziening en internetverbindingen al snel wordt gehaald. Ook zaken als toegangsbeveiliging tot het datacenter worden niet gevraagd. Overigens is in de aanbesteding wel gevraagd naar de beveiliging en stelt het Ministerie van Binnenlandse Zaken dat aantoonbare meerkosten zullen worden vergoed als Speciale Dienst. Die meerkosten mag de winnaar van de aanbesteding dan rekenen. Precies dat is het Golden Bytes in het verkeerde keelgat geschoten. De onderneming leverde de SMS-dienst tot nu toe en is op basis van kosten afgevallen. Het bedrijf is naar de rechter gestapt en heeft een boze brief over de beveiliging naar de Tweede Kamer gestuurd. ‘Wij hebben aan die brief niets toe te voegen en geven geen verder commentaar’, stelt een woordvoerder. ‘Dit kan toch niet waar zijn. Het gaat toch niet zo zijn dat we de beveiliging die we de laatste jaren wel hebben opgebouwd nu gaan weggooien’, reageert Sharon Gesthuizen (SP). Zij wil dat er geen definitief besluit wordt genomen voordat het parlement op de hoogte is en de mogelijkheid heeft gehad een erover te spreken. Wat dat laatste betreft wordt Gesthuizen op haar wenken bediend, want het onderwerp wordt donderdag in het parlement besproken. De overheidsdienst Logius wil niet reageren en schuift het door naar het Ministerie van Binnenlandse Zaken. Dat wordt niet concreet op inhoud, maar stelt zich niet te herkennen in dit bericht. Als het zo moet, dan lijkt het mij beter om het hele DigiD-project maar op de schroothoop te plaatsen.