‘Amerikaanse overname DigiD-beheer maakt manipulatie mogelijk’

Waarschuwing te horen in podcast ‘Cyberhelden’ van Ronald Prins (mede-oprichter Fox-IT)

Het onder een andere naam inloggen bij DigiD is nog het allergrootste gevaar dat dreigt bij overname van DigiD-beheerder Solvinity door het Amerikaanse Kyndryl. Zo blijkt uit de podcast ‘Cyberhelden’ van security-expert Ronald Prins.

De voormalige eigenaar van Fox-IT die tegenwoordig in Zuid-Afrika woont, voerde in zijn podcast een gesprek met andere cybersecurity-experts. Nu in de VS een andere wind waait en het land geen stabiliserende factor meer is, wordt techniek steeds meer ‘politiek’.

Belangrijk thema tijdens de podcast was de vraag welke risico’s Nederland loopt als Solvinity meer onder de reikwijdte van Amerikaans wetgeving gaat vallen. Behalve juridische vragen heeft de Tweede Kamer hier ook veel technische vragen over. Meerdere briefings volgen deze maand. En terecht: als de Amerikanen echt toegang willen tot bepaalde data, wordt geen middel geschuwd. Ronald Prins haalde in het gesprek prof. Eric Verheul, hoogleraar in de cybersecurity (Nijmegen en Amsterdam), aan die in een LinkedIn-post Angela Merkels telefoon-hack in herinnering bracht. En aan de aanval van de NSA op Belgacom in 2013, zoals onthuld door Edward Snowden.

Spioneren

Als het beheer over het platform onder DigiD in Amerikaanse handen komt, krijgen medewerkers van Amerikaanse inlichtingendiensten meer mogelijkheden om via DigiD te spioneren. Ze kunnen gemakkelijker iemands identiteit overnemen, zegt Verheul in zijn LinkedIn-post. Het ‘faken’ van een identiteit en vervolgens toegang krijgen tot de persoonsgegevens van iemand anders, zijn een reëel gevaar. Zo kun je toegang krijgen tot persoonlijke accounts bij Nederlandse overheidsdiensten, zoals de Belastingdienst of UWV en alle zorgverzekeraars.

Volgens deze hoogleraar wordt het risico van manipulatie door Amerikaanse inlichtingendiensten in de (politieke) discussies over de veiligheid van DigiD vaak over het hoofd gezien. Ronald Prins stelde in zijn podcast het daarmee eens te zijn. DigiD geldt als een cruciale schakel in de Nederlandse infrastructuur. Ten onrechte gaat volgens Verheul alle aandacht uit naar de risico’s rond ‘sabotage’ en het ‘meegluren’ in de bestanden van Nederlandse overheidsdiensten. Uitval van DigiD door het stoppen van het beheer is zeker niet denkbeeldig, maar groter is de verleiding een identiteit te faken en in iemands huid te kruipen.

Goed uitvoerbaar

Manipulatie is mogelijk door van een DigiD-account – waarvan je de toegang hebt – in de DigiD-database het BSN te veranderen naar het BSN van de persoon wiens persoonsgegevens je elders wilt inzien. Verheul: ‘Voor de platformleverancier die ook het technisch beheer doet, lijkt mij een dergelijke manipulatie goed uitvoerbaar – zeker met ondersteuning van de NSA, de Amerikaanse inlichtingendienst die geavanceerde malware zoals Stuxnet mede heeft ontwikkeld.’

Verheul herinnert eraan dat de NSA vijf jaar geleden al Europese leiders bleek te spioneren, waaronder dus Angela Merkel. Met de juridisch afgedwongen medewerking (Cloud Act, FISA, Patriot Act) van het Amerikaanse bedrijf Kyndryl — of een Amerikaanse medewerker daarvan — is bovengenoemde manipulatie door bijvoorbeeld de NSA technisch uitvoerbaar. 

Gezondheid

Als dit trucje bijvoorbeeld bij de identiteit van Dick Schoof wordt toegepast, kan de dienst meekijken in de databases waartoe de minister-president entree heeft. Ze kunnen dan bijvoorbeeld zien welke medicijnen bij een zorgverzekeraar zijn gedeclareerd om zich een beeld te vormen van zijn gezondheid.

Het andere risico is dat DigiD ook een mooie, betrouwbare database is van IP-adressen van Nederlanders; een referentieset. Volgens Prins kan het bezit daarvan waardevol zijn. Omdat de Amerikanen veel aan bulk-interceptie doen, zijn deze enorme datasets met deze DigiD-gegevens te verrijken. Dan is gemakkelijker te zien wie welke websites heeft bezocht.

Aflopend contract

Het derde risico is dat de regering in Washington afdwingt het beheer over DigiD te stoppen. En als DigiD uitstaat, kan niemand meer inloggen. Ook als back-ups zijn gemaakt, kan het maanden duren voordat burgers weer bij hun gegevens kunnen komen.

De Tweede Kamer zal de komende weken nog meer details willen weten over de risico’s bij overname door Kyndryl. De vraag is ook of de verkoop van Solvinity nog kan worden tegengehouden. Ronald Prins verwacht niet dat toezichthouder ACM veel haakjes heeft om er voor te gaan liggen. Ook kan het ministerie kiezen voor beëindiging van het contract met Solvinity dat dit jaar afloopt. De overheid kan het onderhoud eventueel ook zelf gaan doen, als de regels voor aanbesteding dat toelaten en de ambtelijke top daartoe bereid is.

De podcast wordt uitgezonden via Spotify, Apple Podcasts, Telegram en Cyberhelden.nl.