Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Geen DigiD voor overheden met onveilige ICT

13 oktober 2011 - 10:09ActueelOverheidGovcertLogiusMinisterie van BZK
Rik Sanders
Rik Sanders

Overheidsorganisaties die DigiD gebruiken, dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun ict-beveiliging te hebben getoetst. Dit moet gebeuren op basis van een nog door Govcert, het cybercrimeteam van de rijksoverheid, te maken beveiligingsnorm. Overheden die hun ict-beveiliging niet op orde blijken te hebben, worden per direct afgekoppeld van DigiD. Dat schrijft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer.

Donner greep in na berichten in de media, opgepookt door het Lektober-initiatief van ict-website Webwereld, over lekkende websites van gemeenten. Hoewel de minister constateert dat ict-beveiliging in de eerste plaats een verantwoordelijkheid is van individuele overheidsorganisaties zelf, vindt Donner dat de informatiebeveiliging van de ict-keten als geheel op orde moet zijn. Daar moet de rijksoverheid op letten. Hij heeft daarom Logius, de ict-infrastructuurbeheerder van de overheid, de opdracht gegeven overheidsorganisaties die hun ict-beveiliging niet op orde blijken te hebben, per direct af te koppelen van DigiD. Die organisaties kunnen weer worden aangesloten als ze voldoen aan een aantal minimum beveiligingseisen.

Toetsen

Verder kondigde de bewindsman aan dat DigiD-gebruikers binnen de overheid voor het einde van het eerste kwartaal van 2012 hun ict-beveiliging getoetst behoren te hebben. Govcert, het cyber crimeteam van de rijksoverheid, stelt deze toets op, in overleg met VNG (Vereniging Nederlandse Gemeenten) en de gemeentelijke kwaliteitsadviseur King. Bovendien zal Logius een aantal marktpartijen vragen de ict-beveiliging van de DigiD-gebruikers proberen te kraken, om te bepalen of de ict-beveiligingstoets goed is uitgevoerd.

Deze toets dient vanaf 2012 elk jaar te worden herhaald, waarbij Govcert de eisen zal aanpassen en vanwege nieuwe bedreigingen die zich aandienen. Overheidsinstanties moeten de test laten uitvoeren door een groep voorkeursleveranciers die door Logius zijn geselecteerd. Grote overheden met voldoende ict-kennis (ter beoordeling aan Logius) mogen debeveiligingsassessments in eigen beheer uitvoeren.

 

Meer over

DigiD

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme toegang vs. onzichtbare cyberrisico’s in de Zorg

    In zorginstellingen is een constante stroom van personeel, patiënten en bezoekers. Maar hoe zorg je ervoor dat gevoelige gebieden beschermd blijven zonder de dagelijkse gang van zaken te verstoren? Hoe herken je eventuele zwakke plekken in het netwerk?

    Computable.nl

    In detail: succesvolle AI-implementaties

    Het implementeren van kunstmatige intelligentie (AI) biedt enorme kansen, maar roept ook vragen op. Deze paper beschrijft hoe je als (middel)grote organisatie klein kunt starten met AI en gaandeweg kunnen opschalen.

    Computable.nl

    Cybercrime Trendrapport 2024

    Een uitgebreide paper over de nieuwste bedreigingen en ruim 50 best-practices in beveiliging.

    Meer lezen

    Hacker
    ActueelCloud & Infrastructuur

    SIM versnelt migratie Sitemanager-gemeenten

    Computable.nl
    ActueelOverheid

    SIM Groep leverde lekke gemeentesites

    Computable.nl
    ActueelSecurity & Awareness

    Diginotar failliet na hack

    Computable.nl
    ActueelCloud & Infrastructuur

    Overheid gaat DigiD zwaarder beveiligen

    Computable.nl
    Awards NieuwsCloud & Infrastructuur

    DigiD 4.1 (Atos, Digidentity en Logius)

    Computable.nl
    ActueelCloud & Infrastructuur

    King maakt afspraken over DigiD-assessment

    6 reacties op “Geen DigiD voor overheden met onveilige ICT”

    1. Cor Rosielle schreef:
      13 oktober 2011 om 15:00

      In het verleden gemaakte fouten bieden geen garantie voor de toekomst.

      “Geen DigiD voor overheden met onveilige ICT”, is de kop van het artikel. Een goede stap op weg naar veiliger ICT is voor die gemeentes om DigiD de deur uit te smijten.

      Want DigiD niet meer betrouwbaar.
      In Nieuwsuur (1 oktober 22:00, Nederland 2) heeft Brenno de Winter beschreven hoe DigiD credentials gestolen kunnen zijn door een phishing attack.

      Deze “aanval” was al jaren bekend, maar omdat de “aanval” nu gewoon op de tv beschreven is, kan de overheid kan er niet meer op vertrouwen dat de ingelogde gebruiker werkelijk de burger is aan wie de DigiD toebehoort.

      Einde verhaal. Doek valt. DigiD is afgelopen.

      Voor wie het niet gevolgd heeft, dit is wat er echt mis is met DigiD.

      DigiD heeft zich geprofileerd als authenticatie mechanisme voor burgers op websites van de overheid. “Zo weten overheidsinstellingen dat ze ook echt met u te maken hebben.”, lezen we nu nog steeds op http://www.digid.nl/burger/over-digid/.

      Maar DigiD wordt ook gebruikt door zorginstellingen, uitkeringsinstanties, gezondheidcentra en ook zorgverzekeraars. Zijn dat dan ook overheidsinstellingen? Nee dus. Maken zij dan wel legaal gebruik van DigiD? Ja dus, alleen dat blijkt weer niet uit de website van DigiD en de postbus 51 spotjes.

      Dus (bijna) iedereen die inlogt met DigiD bij een andere organisatie dan een overheid, heeft het niet gesnapt. Die logt misschien ook wel in met DigiD op een malafide site, waar DigiD login gegevens worden ontfutseld. En omdat er mensen zijn die dit doen, is DigiD geen betrouwbaarheid authenticatie mechanisme. De overheid kan er niet meer op vertrouwen dat de ingelogde gebruiker werkelijk de burger is aan wie de DigiD toebehoort.

      Eigen schuld, vind ik. Wees helder in je communicatie en vertel hoe het zit. Het idee is heel mooi, maar het was al kwetsbaar genoeg zonder dat er slecht gedocumenteerde uitzonderingen werden gemaakt.

      Het zal u duidelijk zijn: wat mij betreft heeft DigiD afgedaan.
      Natuurlijk zal ik ook weer DigiD gaan gebruiken bij mijn belastingaangifte. Want als alles goed gaat, dan is het mooi, maar als er iets mis gaat, dan kwam dat niet door mij. Want als ik een keer DigiD heb gebruikt waar ik dat beter niet had kunnen doen, dan weet iemand anders nu ook mijn username en password. En dan beschik ik over een excuus dat “plausible deniability” genoemd wordt. Er bestaat de kans dat iemand anders misschien mijn DigiD misbruikt heeft.

      In het verleden gemaakte fouten bieden geen garantie voor de toekomst, zo begon ik deze reactie. Maar laat ik nou voorspellen dat er politici en andere stakeholders zijn die onze belangen gaan beschermen. En dat gaan we doen op de verkeerde manier, zoals we dat in het verleden ook op de verkeerde manier gedaan hebben.
      Conclusie: DigiD is onbetrouwbaar en dat is zeer moeizaam te herstellen. Leg je er bij neer en doe er je voordeel mee.
      Overheidsinstanties moeten binnenkort jaarlijks getest worden door een groep van voorkeursleveranciers die geselecteerd worden door Logius, het bedrijf dat bewezen heeft dat ze er onvoldoende van begrijpen.

      Dus volgend jaar hebben we bakken belastinggeld uitgegeven en lezen we nog steeds over allerlei ICT problemen bij de overheid. Want als je niet in zee gaat met security experts maar wordt beperkt tot een lijst van voorkeursleveranciers, dan kan dat alleen verkeerd aflopen. Hier zou de minister eens een vrije markt moeten verplichten.

      Maar ja, wie weinig wil doen aan beveiliging loopt de kans dat hij precies krijgt waar hij recht op heeft: weinig beveiliging.

      Zucht. Tot volgend jaar (voor het vervolg).

      Login om te reageren
    2. Piet Kastelijn schreef:
      13 oktober 2011 om 17:53

      Overheidsinstanties moeten binnenkort jaarlijks getest worden door een groep van voorkeursleveranciers die geselecteerd worden door Logius, het bedrijf dat bewezen heeft dat ze er onvoldoende van begrijpen.

      geldt dit ook voor de zorginstellingen, verzekeraars en dergelijke?

      Read more: https://www.computable.nl/artikel/ict_topics/overheid/4220501/1277202/geen-digid-voor-overheden-met-onveilige-ict.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing#ixzz1agYYJyDi

      Login om te reageren
    3. Cor Rosielle schreef:
      13 oktober 2011 om 21:47

      @Piet Kastelijn
      Ja, dat lijkt mij van wel. Als de minister besluit dat DigiD wel veilig is en dat voor het gebruik daarvan veiligheidsvoorschriften van toepassing worden verklaard, dan zie ik niet in waarom rechtmatige gebruikers die niet onder de overheid vallen hiervan vrijgesteld zouden worden.

      Login om te reageren
    4. Peter schreef:
      14 oktober 2011 om 09:16

      Cor Rosielle heeft gelijk. DigiD is niet meer te vertrouwen en in die zin heeft deze actie van de Minister geen enkele zin meer. Pas als de opvolger van DigiD beschikbaar komt zal het weer mogelijk zijn om met een schone lei te beginnen.

      Voordat überhaupt een overheids website online gaat moet deze door specialisten goed nagekeken zijn. Dat gebeurde sporadisch en daardoor slaan ze nu ook keer op keer een flater.
      Het vertrouwen van de burgers is volledig zoek en dan nog wordt er door de overheid stelselmatig tegen ze gelogen. Zelfs de oppositie van de 2e kamer mist de kennis om het kabinet hier afdoende op af te rekenen en wat dat betreft mag je concluderen dat de hele Nederlandse politiek hier een onvoldoende antwoord op heeft. Er moeten dingen drastisch veranderen eer dat vertrouwen weer terug komt.

      Login om te reageren
    5. Dirk schreef:
      17 oktober 2011 om 08:57

      Veel beter zou het zijn wanneer de beveiliging van overheidsites geen gebruik zou maken van enkel gebruikersnaam/wachtwoord combinaties.
      Kijk naar de wijze waarop veel banken hun toegang hebben beveiligd. Verstrek aan alle burgers een cryptocard, die in combinatie met een persoonlijke ID-card (zoals nationale ID-card of paspoort) en een pincode toegang biedt tot alle overheidsites.
      Overigens zou je per huishouden 1 cryptocard kunnen verstrekken, ipv 1 per burger. Dat scheelt uiteraard in de kosten.

      Bedenk daarnaast een noodprocedure voor burgers die hun ID-card zijn kwijtgeraakt en tijdelijk niet kunnen inloggen.

      Login om te reageren
    6. Stef Liethoff schreef:
      19 oktober 2011 om 13:39

      Is het een idee om ipv digid niet de overheid te laten samenwerken met de banken. Dus in federation opzetten. Op het moment dat je op een overheidswebsite moet inloggen wordt je geleid naar de bank waar je jouw rekeningnummer hebt. Dan log je in op de bank en de bank geeft een token af aan de website van de overheid dat deze gebruiker zich succesvol heeft geauthenticeerd. Een soort ideal, maar dan voor authenticatie. Zomaar een wild idee, om kosten te besparen…

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs