Tag Archives: DigID

Onveilige IT: dan geen DigID

Overheidsorganisaties die DigiD gebruiken, dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun IT-beveiliging te hebben getoetst. Dit moet gebeuren op basis van een nog door Govcert, het cybercrimeteam van de rijksoverheid, te maken beveiligingsnorm. Overheden die hun IT-beveiliging niet op orde blijken te hebben, worden per direct afgekoppeld van DigiD. Dat schrijft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer. 

Donner greep in na berichten in de media, opgepookt door het Lektober-initiatief van IT-website Webwereld, over lekkende websites van gemeenten. Hoewel de minister constateert dat IT-beveiliging in de eerste plaats een verantwoordelijkheid is van individuele overheidsorganisaties zelf, vindt Donner dat de informatiebeveiliging van de IT-keten als geheel op orde moet zijn. Daar moet de rijksoverheid op letten. Hij heeft daarom Logius, de IT-infrastructuurbeheerder van de overheid, de opdracht gegeven overheidsorganisaties die hun IT-beveiliging niet op orde blijken te hebben, per direct af te koppelen van DigiD. Die organisaties kunnen weer worden aangesloten als ze voldoen aan een aantal minimum beveiligingseisen.

Verder kondigde de bewindsman aan dat DigiD-gebruikers binnen de overheid voor het einde van het eerste kwartaal van 2012 hun IT-beveiliging getoetst behoren te hebben. Govcert, het cyber crimeteam van de rijksoverheid, stelt deze toets op, in overleg met VNG (Vereniging Nederlandse Gemeenten) en de gemeentelijke kwaliteitsadviseur King. Bovendien zal Logius een aantal marktpartijen vragen de IT-beveiliging van de DigiD-gebruikers proberen te kraken, om te bepalen of de IT-beveiligingstoets goed is uitgevoerd.

Continue reading

Share This:

DigID fraude heeft grotere omvang dan gedacht

Ongeveer 2500 mensen zijn slachtoffer geworden van toeslagfraude via willekeurige DigID’s. Daarmee is de zwendel groter dan gedacht. Eerder zei minister Donner van Binnenlandse Zaken dat het hoogstens om ‘enkele gevallen’ ging. De fraude was mogelijk, omdat iedereen online na inloggen met DigID namens iedere Nederlander toeslagen kon aanvragen en op de eigen rekening kon laten storten. Inmiddels is deze mogelijkheid tot fraude niet meer mogelijk, schrijft staatssecretaris Weekers van Financiën. De Belastingdienst controleert nu voordat een toeslag wordt uitgekeerd of degene die de toeslag heeft aangevraagd ook degene is die met zijn DigID heeft ingelogd. Ook wordt een bevestiging per brief gestuurd als iemand zijn rekeningnummer wil wijzigen.

Terwijl Donner eerst nog sprak over enkele slachtoffers en de Belastingdienst zei dat er wellicht honderden slachtoffers waren, blijkt nu dat het om veel meer gevallen gaat: dit jaar zijn er tot dit moment al 2500 mensen slachtoffer geworden van deze online vorm van toeslagfraude. De fraude kwam vaak aan het licht als de Belastingdienst erachter kwam dat deze onterecht was uitgekeerd. De Belastingdienst probeerde de onterecht verstrekte toeslagen terug te halen bij degene die hem ogenschijnlijk had aangevraagd. Die hadden de onterecht aangevraagde toeslagen nooit ontvangen.

Continue reading

Share This:

Te verwachten DigID-fraude bij belastingdienst

Honderden (en misschien duizenden) mensen zijn het slachtoffer geworden van fraude met toeslagen door misbruik van het DigID. Het was (onvoorstelbaar) tot voor kort mogelijk om met een willekeurig DigID huur- en zorgtoeslagen aan te vragen. Fraudeurs gebruikten die mogelijkheid om toeslagen voor anderen aan te vragen en die op een eigen rekeningnummer te laten storten. Als de Belastingdienst constateerde dat de toeslagen te hoog waren of onterecht waren uitgekeerd, werden de persoonsgegevens van de gebruikte DigID ingezet om het geld terug te vorderen. Hierdoor kwamen mensen in de problemen terwijl ze de toeslagen nooit hadden ontvangen.

De Belastingdienst heeft inmiddels bevestigd dat er vele burgers door dit misbruik van DigID-gegevens zijn getroffen. Voor zeker 260 huishoudens uit Rotterdam is er een strafrechtelijk onderzoek naar mogelijke fraude gestart. Dat is aanzienlijk meer dan de ‘enkele gevallen’ waar minister Donner van Binnenlandse Zaken vorige maand over sprak. Volgens nrc.next gaat het mogelijk zelfs om duizenden fraudegevallen, maar precieze aantallen wil het ministerie van Financiën niet noemen. 

Continue reading

Share This:

DigiD: beveiliging is van later zorg

22 oktober 2010

Er zijn nauwelijks beveiligingseisen voor het SMS-gedeelte van de DigiD-authenticatie, toch stelt BZK dat de garanties er wel zijn. Andere beveiliging is van later zorg. Dat bleek tijdens de rechtszitting, die aangespannen was door het bedrijf Golden Bytes BV tegen Binnenlandse Zaken (BZK). Deze onderneming levert nu de SMS-berichten van de overheid af en was een van de inschrijvers op de nieuwe aanbesteding, waaruit nu bijna alle beveiligingseisen zijn verdwenen. ‘Er is gekozen voor prijs en niet voor veiligheid’, concludeert Frederik van Nouhuys, advocaat van Golden Bytes. Zijn klant verloor de opdracht, omdat het bedrijf op een bedrag van ongeveer 900.000 euro een kleine 18.000 euro duurder was dan de winnaar. De prijs is alleen incompleet, omdat er nog veel beveiligingseisen aan de opdracht worden toegevoegd. Van Nouhuys vreest dat inbrengen van beveiliging in een later stadium wel eens een half miljoen kan gaan kosten en daarmee zoveel kosten zijn gemoeid dat de onderhandse opdracht wel erg groot is. Daarmee overtreedt de overheid de wet en zou de aanbesteding niet mogen doorgaan.

Continue reading

Share This:

Beveiliging DigiD kalft af

12 oktober 2010

De overheid ziet ervan af om de toegang tot DigiD afdoende te beveiligen. De problemen spelen bij de dienstverlening om SMS-berichten te sturen, die door de overheid recentelijk is aanbesteed. Daarbij is gekozen met één criterium: de prijs. Het gaat niet alleen over gewone SMS-berichten, maar ook over over de beveiligde codes voor het aanmelden met DigiD. Daarmee meldt een gebruiker zich aan voor het zaken doen met de overheid en tot voor kort werd ook serieus overwogen om hiermee de medische gegevens voor het Elektronisch Patiëntendossier (EPD) toegankelijk te maken. Die inzage struikelde juist op de gebrekkige beveiliging van SMS-authenticatie. Werd bij de vorige aanbesteding nog gevraagd dat alleen gescreend personeel mag worden ingezet, inmiddels is die eis vervallen. In theorie kan iedereen de beveiligde toegang beheren: van onkundig beheerder tot veroordeeld identiteitsfraudeur. Ook is de eis vervallen dat de systemen volgens voor de overheid gangbare procedure moeten worden beheerd. De nieuwe leverancier hoeft zich niet meer aan ITIL of andere methodologieën te houden, waardoor het onduidelijk is hoe het systeembeheer vorm krijgt. Eerdere eisen over hoe logboeken worden beheerd, de verplichting om verkeer tussen DigiD en de SMS Gateway te versleutelen en het houden van regelmatige Rijksaudits, zijn in die nieuwe aanbesteding niet meer te vinden.

Continue reading

Share This:

DigiD naar DigiD-X

24 september 2010

DigiD is een publieke authenticatievoorziening, waarmee burgers zich online kunnen authenticeren ten overstaan van dienstverleners van de Nederlandse e-overheid. DigiD is anno 2010 een belangrijke bouwsteen van de e-overheid. Medio 2009 is een aanvang gemaakt met het specificeren van een nieuw DigiD op basis van een moderne en modulaire architectuur, waardoor het beter te beheren is en beter is toegerust op de huidige en toekomstige taken, waaronder integratie met andere voorzieningen van de e-overheid, zoals bijvoorbeeld GMV (Gemeenschappelijke MachtigingsVoorziening) en MijnOverheid.nl. De doelstellingen van het nieuwe DigiD, voorlopig DigiD-X genaamd, zijn als volgt vastgesteld:

  • Efficiënt beheer en doorontwikkeling door het gebruik van een modulaire systeemarchitectuur en een moderne software-architectuur;

  • Moderne GUI (Graphical User Interface) voor eindgebruikers die voldoet aan de webrichtlijnen, vernieuwde en vereenvoudigde gebruikersinteracties en een moderne GUI voor beheerders;

  • Moderne koppelvlakken die voldoen aan het OSB (OverheidsServiceBus) afsprakenstelsel en die gebruik maken van internationale standaarden, zoals bijvoorbeeld SAML-2;

  • Goede integratie met nieuwe e-overheidsvoorzieningen.

Continue reading

Share This: