Overheid gaat DigiD-codes in risicogebieden thuisbezorgen
Om fraude met DigiD tegen te gaan heeft minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties besloten dat de activeringscodes voor DigiD per koerier thuisbezorgd worden bij mensen die in zogenaamde risicogebieden wonen. De minister had eerder al maatregelen aangekondigd.
In de risicogebieden zijn er signalen bekend over criminelen die uit de post persoonlijke gegevens zoals een geboortedatum en Burgerservicenummer (BSN) achterhalen en uiteindelijk activeringscodes van DigiD onderscheppen. De minister wil met deze maatregel burgers beter te beschermen tegen pogingen van identiteitsfraude.
Via DigiD kunnen Nederlanders zich bij de overheid identificeren om via internet diensten van de overheid af te nemen, zoals het aanvragen van toeslagen en uitkeringen. Als onderdeel van het aanvraagproces stuurt DigiD een activeringscode per post waarmee burgers hun DigiD kunnen activeren.
Risicogebieden
In Amsterdam Zuid-Oost en Groningen lopen politieonderzoeken naar fraudepogingen met DigiD. Criminelen stalen eerst uit de post persoonlijke gegevens van mensen, waarmee zij een DigiD konden aanvragen. Zodra de activeringscode voor DigiD werd thuisgestuurd, haalden criminelen deze ook uit de post. Beide gevallen werden door de Belastingdienst opgemerkt en Logius heeft de DigiD’s waarmee is geprobeerd te frauderen direct geblokkeerd.
Vervolgens is er contact gelegd met uitvoeringsorganisaties zoals de SVB, UWV en DUO. Amsterdam Zuid-Oost en Groningen zijn twee van de risicogebieden waar voortaan DigiD-activeringscodes worden thuisbezorgd middels een koeriersdienst. De risicogebieden zijn gedefinieerd op basis van de eerste vier cijfers van de postcode. Zodra er meerdere signalen bekend zijn worden de risicogebieden uitgebreid.
Wachtwoorden
Naast de maatregelen voor deze risicogebieden heeft de minister beleid ingezet om de wachtwoorden van DigiD te versterken. Sinds 1 januari 2014 is dat gebeurd voor nieuwe gebruikers en per mei wordt dat beleid ook ingevoerd voor bestaande gebruikers. Daarnaast heeft de minister opdracht geven voor de middellange termijn verbeteringen voor verdere versterking van DigiD door te voeren, zoals afgifte van activeringscodes in persoon of via balie-uitgiften.
Bij de eerdere discussies was er al min of meer geconcludeerd dat die post natuurlijk onderschept wordt door inside
contacten bij de postbezorging. Je gaat niet die honderden brieven hengelen, je praat gewoon met je vriendje die
postbezorger is, of je wordt zelf even postbezorger.
Dat is allemaal veel makkelijker geworden nu een postbezorger geen beedigd ambtenaar meer is die zijn baan op het
spel zet als ie zo iets doet, maar gewoon een deeltijdwerker.
Ga je nu overstappen op een koeriersdienst, dan weet je natuurlijk al dat dit geen koeriers in staatsdienst worden maar
dat dit gewoon wordt uitbesteed aan een bedrijfje, waar je het personeelsbeleid ook niet van in de hand hebt.
Dus die fraudeurs die hebben voor je het weet weer een contactje in die dienst en kunnen de boel weer onderscheppen.
Zoals de reactie van Anoniem 10:33 al luidt, dit gaat hooguit een week of wat helpen, voor het diezelfde criminelen nóg makkelijker gemaakt wordt om brieven te onderscheppen, daar deze koeriers-dienst natuurlijk een relatief groot aandeel aan Digi-D post krijgt te verwerken. Met honing vang je meer vliegen dan met azijn?
Daarnaast zijn de duidelijk herkenbare Digi-D brieven mede-oorzaak van het probleem, mijn bank stuurt gevoelige gegevens ook in een enveloppe zonder herkenbare opschriften.
En dan is er nog het kleine feitje dat fraude-gevoeligheid van de postbezorging in het algemeen ter discussie zou moeten staan, in plaats van de schriftelijke communicatie van één overheids-onderdeel (ja Digi-D is een bedrijf, geen overheids-instantie, ik weet het) te her-structureren.
Om te huilen :(
2 Opmerkingen:
- de bezorger die dit doet zet nog steeds zijn baan op het spel, in combinatie met een mogelijke rechtsvervolging
- Niet alleen de bezorger is een risico-factor, in het nieuwe systeem wordt de post vaak centraal gesorteerd, dus ook sorteerders zijn dat, evenals ieder ander die met de post werkt.
2 Opmerkingen:
- de bezorger die dit doet zet nog steeds zijn baan op het spel, in combinatie met een mogelijke rechtsvervolging
- Niet alleen de bezorger is een risico-factor, in het nieuwe systeem wordt de post vaak centraal gesorteerd, dus ook sorteerders zijn dat, evenals ieder ander die met de post werkt.
postbezorger wil worden voor een goede betaling, en die er niet om maalt dat hij eventueel rechtsvervolging achter
zich aan krijgt (ALS dat al gebeurt, want wie bewijst dat de postbezorger het gedaan heeft?)
Ook elders in het fraudecircuit vindt men makkelijk allerlei medewerkers zoals geldezels en pinners met gestolen/
geskimde passen.
Postbezorger is (daar adverteren ze mee) een weggooibaantje wat je snel even doet als je geen ander werk hebt.
Dus laten ministers een hoop aan anderen over, hoe kunnen ze anders? Plasterk heeft Logius opdracht gegeven met iets beters te komen, meldde hij in januari. Ik neem dan ook aan dat dit uit hun koker komt. Zijn die dan wel competent? Competent genoeg om de fraudepogingen die aanleiding gaven voor dit gedoe te herkennen en voor te zijn.
En daar komt bij dat dit de maatregel voor de korte termijn is. Afgifte in persoon of aan de balie wordt voor de middellange termijn genoemd, bijvoorbeeld.
Ministertje-bashen is altijd leuk, natuurlijk, maar het voegt weinig constructiefs aan de discussie toe.
Ik ben eigenaar van een aantal webshops en kan je vertellen op basis van een dan half miljoen zendingen dat suren met pakket en koeriersdiensten vele malen beter dichtgetimmerd kunnen worden dan reguliere post. Fraude bij pakket- en koeriersdiensten zijn tot nu toe 0 (alle 'horrorverhalen' die ten ronde gaan ligt aan de afzender zelf).
We sturen dure en vaak ook breekbare spullen. Toch scoren we 100%. Je moet je processen beheersen en dat betekend bij pakketten/koerier alleen leveren op huisadres (dus geen buren) en handtekening ontvangst. Daarnaast moet je risicoprofielen meenemen en soms kiezen voor bijvoorbeeld alternatieve levering op een afhaallokatie met overhandiging van ID.
Dus deze overstap is zeker een goede stap in de richting.
Dus laten ministers een hoop aan anderen over, hoe kunnen ze anders? Plasterk heeft Logius opdracht gegeven met iets beters te komen, meldde hij in januari. Ik neem dan ook aan dat dit uit hun koker komt. Zijn die dan wel competent? Competent genoeg om de fraudepogingen die aanleiding gaven voor dit gedoe te herkennen en voor te zijn.
En daar komt bij dat dit de maatregel voor de korte termijn is. Afgifte in persoon of aan de balie wordt voor de middellange termijn genoemd, bijvoorbeeld.
Ministertje-bashen is altijd leuk, natuurlijk, maar het voegt weinig constructiefs aan de discussie toe.
Ze mogen/kunnen natuurlijk hun onvermogen ook ruiterlijk erkennen, en een andere baan zoeken.... ?!
Dus laten ministers een hoop aan anderen over, hoe kunnen ze anders? Plasterk heeft Logius opdracht gegeven met iets beters te komen, meldde hij in januari. Ik neem dan ook aan dat dit uit hun koker komt. Zijn die dan wel competent? Competent genoeg om de fraudepogingen die aanleiding gaven voor dit gedoe te herkennen en voor te zijn.
En daar komt bij dat dit de maatregel voor de korte termijn is. Afgifte in persoon of aan de balie wordt voor de middellange termijn genoemd, bijvoorbeeld.
Ministertje-bashen is altijd leuk, natuurlijk, maar het voegt weinig constructiefs aan de discussie toe.
Als mens kan ik er in meevoelen, maar we hebben het nu eenmaal zo ingericht dat de zittende minister persoonlijk aansprakelijk is voor het beleid van diens ministerie. En ergens moet er ook aansprakelijkheid zijn. Dus tot we iets beters hebben, krijgt de heer Plasterk inderdaad de schuld.
Maar wat me meer dwars zit dan de punten of dit effectief is tegen onderscheppen van Digi-D codes, is dat het eigenlijk maar weinig helpt waar mijn grote kopzorg zit. Het risico dat ik zie bij dit soort fraude is de indirecte schade door even negatieve als onterechte data in de dossiers, en de toch wel forse impact die dat op de kwaliteit van leven kan hebben. Maar onderschepping van Digi-D codes of zelfs het grotere fraude met Digi-D is bij lange na niet de enige mogelijke aanleiding. Computerfouten, menselijke fouten, ambtenaren met een ochtendhumeur, medewerkers van AIVD of andere organisaties die het misschien niet helemaal met kritiek eens zijn, andere vormen van fraude, onvolspelbare pecht etc. etc. etc. Natuurlijk, als je met wat wisselgeld deze manier misschien wat kan verminderen, ga vooral je gang. Maar het nuttig effect op mijn kopzorg is praktisch nul.
Voorkomen is beter dan genezen, maar in dit geval heb ik er meer aan als nu eindelijk de aandacht eens uitgaat naar effectief helpen van de slachtoffers, door welke oorzaak ook.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.