image

Plasterk: extra beveiliging DigiD zou miljoenen kosten

maandag 2 maart 2015, 14:14 door Redactie, 26 reacties

Het extra beveiligen van DigiD zou miljoenen euro's kosten, waardoor de kosten niet tegen de opgelopen schade opwegen. Dat laat minister Plasterk van Binnenlandse Zaken in een brief aan de Tweede Kamer weten. Op dit moment kent DigiD de niveaus Basis en Midden. Voor Basis identificeren gebruikers zich met een gebruikersnaam en een wachtwoord; voor Midden identificeren gebruikers zich met een gebruikersnaam, een wachtwoord én een sms-code.

Volgens Plasterk heeft DigiD Midden als groot voordeel ten opzichte van DigiD Basis dat het risico van phishing wordt tegengegaan. Een aanvaller die de inloggegevens via phishing weet te bemachtigen kan nog steeds niet inloggen, aangezien hij niet over de vereiste sms-code beschikt. De minister stelt dat phishing tot de grootste problemen behoort als het gaat om fraude en oneigenlijk gebruik van digitale dienstverlening, zowel binnen als buiten de overheid.

Een nog hoger beveiligingsniveau voor DigiD is "STORK 3", waarbij de uitgifte van DigiD en activeringscodes "face to face" verloopt, bijvoorbeeld via thuisbezorging of balie-uitgifte. Deze methoden worden momenteel op beperkte schaal toegepast. Het thuisbezorgen vindt plaats in bepaalde postcodegebieden met een verhoogd risico en DigiD buitenland kent een vorm van balie-uitgifte. Het hoogste betrouwbaarheidsniveau (STORK 4) is nog niet beschikbaar. Dit niveau werkt met gekwalificeerde elektronische certificaten.

Versterkingsagenda DigiD

Vorig jaar kondigde Plasterk een versterkingsagenda voor DigiD aan. De Tweede Kamer vroeg de minister vervolgens om de kosten van het extra beveiligen van DigiD in kaart te brengen. Het gaat dan om het (verplicht) gebruik van DigiD Midden, het vertekend versturen van alle brieven met activeringscodes, de uitgifte van alle brieven met activeringscodes aan de balie van gemeenten en het overal thuisbezorgen van alle brieven met activeringscodes, zoals nu gebeurt in risicovolle postcodegebieden.

Als er wordt gekeken naar het gebruik van DigiD in 2014 zou alleen het verplichten van DigiD Midden bijna 16 miljoen euro kosten. Het thuisbezorgen van de activatiecodes zou met het DigiD-gebruik van vorig jaar zelfs op 70 miljoen euro zijn uitgekomen. Plasterk stelt dat uit navraag bij verschillende grote overheidsinstellingen blijkt dat het aantal schadegevallen direct gerelateerd aan het betrouwbaarheidsniveau van DigiD bij hen relatief laag is. Het zou om enkele tienduizenden euro's gaan. "Vanuit financieel oogpunt wegen de geraamde aanvullende beveiligingskosten daarom op dit moment niet op tegen de schade die wordt opgelopen", aldus de minister.

Verdere ontwikkelingen

De overheid werkt op dit moment aan het realiseren van het eID Stelsel, waarin private en publieke middelen kunnen worden ingezet voor authenticatie. In de eerste plaats wordt een alternatief voor het redelijk kostbare DigiD Midden met sms gerealiseerd, dat tegen lagere kosten op grote schaal kan worden toegepast. In februari is met de bouw van de beoogde oplossing gestart. Medio 2015 wordt de beoogde oplossing getest in een pilot. Mocht de pilot succesvol blijken, dan zal besloten worden over de uitrol en de daarmee samenhangende financiële consequenties.

Verder zullen enkele grote uitvoeringsinstanties in 2015 pilots uitvoeren met het toepassen van een extra controle na het inloggen met DigiD. Die extra controle vindt plaats door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument, zoals de Nederlandse identiteitskaart en het rijbewijs. Daarmee wordt het mogelijk authenticaties met betrouwbaarheidsniveau STORK 3 uit te voeren. Mochten de pilots succesvol zijn, zal Plasterk laten onderzoeken of, wanneer en tegen welke kosten deze methode overheidsbreed kan worden toegepast.

Beveiligingsnorm

Als laatste besteedt de minister in zijn brief aandacht aan het oplossen van onvolkomenheden in de beveiligingsnorm voor DigiD. De Algemene Rekenkamer constateerde dat de DigiD-omgeving in 2013 niet volledig voldeed aan een deel van de normen van het Nationaal Cyber Security Centrum (NCSC) voor de beveiliging van webapplicaties. Plasterk had maatregelen aangekondigd zodat in 2014 de DigiD-omgeving volledig zou voldoen aan die normen van het NCSC.

Nu meldt de minister dat gedurende 2014 de DigiD-omgeving nog niet volledig voldeed aan alle normen van het NCSC voor de beveiliging van webapplicaties. "Er is in 2014 veel in gang gezet om verbeteringen in het beheer van DigiD te realiseren." Inmiddels zouden de geconstateerde bevindingen grotendeels zijn verholpen. Dit moet nog wel door een IT-audit worden vastgesteld. Deze audit zal naar verwachting in het eerste kwartaal van dit jaar zijn afgerond. Er resteren dan nog twee bevindingen, die volgens Plasterk naar verwachting vóór de zomer van 2015 zijn opgelost.

Image

Reacties (26)
02-03-2015, 14:18 door [Account Verwijderd] - Bijgewerkt: 02-03-2015, 14:20
[Verwijderd]
02-03-2015, 14:25 door Anoniem
Wij betalen hier €0,06 per SMS en dat is voor bundels van 25.000 per keer. Ik neem dat je naar €0,03 per SMS moet kunnen bij afname van 158 miljoen...
02-03-2015, 14:34 door Anoniem
Ik vind het prima dat er afwegingen tussen kosten en risico gemaakt worden, maar dan moeten kosten en risico
wel bij dezelfde partij liggen! Het kan niet zo zijn dat men afweegt dat de kosten voor de overheid groter zijn dan
het risico bij de burger.

Dus als er zo'n beslissing genomen wordt dan moet daar onlosmakelijk aan gekoppeld worden dat het risico ook bij
de overheid ligt. DWZ als de digid gehacked is en er zijn bedragen door de belastingdienst betaald aan een hacker
dan moet de belastingdienst niet gaan proberen die bedragen terug te vorderen, of alsnog door de eigenaar van de
digid aangevraagde bedragen weigeren te betalen.
02-03-2015, 14:35 door Anoniem
Dan huren ze zeker voor 2 jaar dat manneke in dat ook bij de politie aan het klussen is geweest voor het oplossen van wat probleemjes ;-)
02-03-2015, 14:46 door tarunjj
Je DigiD kan je voor steeds meer instanties gebruiken en dus ook misbruiken. Iemand die "gekaapt" wordt kan het leven erg zuur gemaakt worden. Misschien is dat geen kostenpost voor de overheid maar wel een leven van een eigenaar (burger) van diezelfde overheid. Een betere beveiliging (ga eens praten met de banken?) is dan wel "handig".
02-03-2015, 15:06 door Preddie
Zo te zien wordt minister Plasterk behoorlijk genept.... Zoals anoniem @ 14:25 al zegt betalen consumenten misschien 10 cent per SMS maar wanneer je er 158 miljoen betaal je echt geen 10 cent meer.

Overigens vindt ik 158 miljoen smsjes wel erg veel voor een land met 17 Miljoen inwoners (Waarvan maar een substantieel deel een DigiD heeft, volgens de laatste cijfers zijn dit er ongeveer 10 miljoen) en maar een beperkt aantal diensten waar smsjes voor nodig zijn. Persoonlijk ken ik er zelfs maar één, namelijk het DUO.

Volgende, 3 miljoen aangetekende activeringscodes ? huh ? Deze activeringscode krijg je toch alleen als je een DigiD moet activeren? Dus na 6 jaar hebben 18 miljoen mensen een DigiD en gaat ergens iets mis als je jaarlijks nog 3 miljoen mensen laat activeren en dat terwijl we maar 10 miljoen gebruikers hebben en in in 2013 we 286 000 nieuwe DigiD's werden geactiveerd, waar zijn die andere 2,7 miljoen jaarlijkse activeringen voor nodig ? (Dan hebben we het nog niet eens over de prijs, immers betaalde de consument dezelfde prijs voor aangetekende verzending.

Dit zelfde geld voor de balie uitgiftes, als er in 2013 zo ongeveer 286 000 nieuwe DigiD's zijn uitgegeven zijn die of aangetekend verzonden, of thuis bezorg of uitgegeven bij een balie. Feitelijk is er dus een groot vraag hoe de beste meneer aan de aantallen komt ? Ik mis er namelijk nog 8,7 miljoen.... en mag vanuit gaan dat als mensen reeds een DigiD hebben en deze kwijtraken e.d.g. dat men een vergoeding moet betalen voor het aanmaken van een nieuwe DigiD.

Afgezien van nog enkele aspecten die niet kloppen in het verhaal mis ik een de paragraaf "resultaten" aangezien DigiD kostenbesparend moet zijn. Als het aantal gebruikers en aantal acties via DigiD toenemen zou dit moment betekenen dat het aantal besparingen ook toeneemt. Het dus helemaal niet erg als de kosten met 1 miljoen stijgen als daarmee 10 miljoen aan besparingen wordt gerealiseerd. En als DigiD nu helemaal niet tot besparingen leidt maar alleen maar tot kosten zou de minister morgen moeten zeggen; De stekker uit DigiD !
02-03-2015, 15:17 door Erik van Straten
Door Redactie: Volgens Plasterk heeft DigiD Midden als groot voordeel ten opzichte van DigiD Basis dat het risico van phishing wordt tegengegaan. Een aanvaller die de inloggegevens via phishing weet te bemachtigen kan nog steeds niet inloggen, aangezien hij niet over de vereiste sms-code beschikt.
Kan iemand mij uitleggen waarom het onmogelijk zou zijn om een phishing website te maken, die als twee druppels water op de DigiD site lijkt, waarop de gebruiker, naast inlogggevens, ook de SMS code invoert?
02-03-2015, 15:43 door Anoniem
Door Forester: Den Haag gaf wel in de afgelopen 45 jaar ongeveer 200 miljard euro uit aan 'ontwikkelingshulp', maar een miljoentje of meer is weer iets te veel geld uitgegeven. Zeker als het woord beveiliging valt.
Zo kan je het ook zien.
Een aanvullende toelichting is dan wel vereist, voordat je in een kamp geplaatst wordt waar je politiek misschien niet wil zitten.

Dus; inderdaad, nu je het zegt!
Waar maken we ons druk over, anderen kunnen dat geld veel beter gebruiken!
Voor bijvoorbeeld het acceptabel verhogen van een levensstandaard tot op zijn minst een minimale.
Over veiligheid gesproken.

Weet je wat?
Laten we doorgaan op oude voet met de volgende aanpassing.
We nemen het fraude risico voor lief, dat wil zeggen dat in de gevallen van fraude de staat die ettelijke tienduizenden euro's uitkeert aan de benadeelden.

Kijken we naar het totale bedrag a 143.300.000 dat bespaard wordt en relateren we dat zoals Forrester dat graag ziet aan de ontwikkelingshulp die we altijd gaven, dan is het wel zo menselijk dat weer in zekere ere te herstellen.
Niet op een miljoentje meer of minder kijken en die flinke besparingen van afgelopen jaren terug te brengen door de besparingen op DigiD security nu op zijn minst een beetje te delen met diegenen die het werkelijk nodig hebben.

Herstellen we dus het budget voor ontwikkelingshulp weer wat, daar was met allerlei egoistische drogredenen flink op bezuinigd. Ze heeft daarnaast ondanks die bezuinigingen ook geen positief resultaat gehad op de gang van allerlei andere zaken hier.
Kijk maar naar de stand van zaken rondom DigiD.
Terug dus dat bespaarde geld naar ontwikkelingshulp. Op zijn minst een aardig deel van die 143.300.000.

Nobel en sociaal dus van je om dat zo aan te kaarten!

Ik ben het helemaal met je eens,
dat DigiD risico kunnen we wel afdekken zodat we weer kunnen investeren in het afdekken van veel grotere risico's voor anderen die het harder nodig hebben en dat sociale beeld dat buitenstaanders van dat 'tolerante' Nederland hebben weer een beetje eer wordt aangedaan.

Nederlanders gaat het echt niet alleen maar om de eigen knip.
02-03-2015, 15:46 door Preddie
Door Erik van Straten:
Door Redactie: Volgens Plasterk heeft DigiD Midden als groot voordeel ten opzichte van DigiD Basis dat het risico van phishing wordt tegengegaan. Een aanvaller die de inloggegevens via phishing weet te bemachtigen kan nog steeds niet inloggen, aangezien hij niet over de vereiste sms-code beschikt.
Kan iemand mij uitleggen waarom het onmogelijk zou zijn om een phishing website te maken, die als twee druppels water op de DigiD site lijkt, waarop de gebruiker, naast inlogggevens, ook de SMS code invoert?

Retorische vraag? ;)

Volgens mij weten wij wel beter maar misschien is het gewoon leuk om die vraag om Plasterk te stellen om te big-smile op zijn antwoord af te wachten....

Overigens lijkt me een stukje malware dat automatisch web-injects uitvoert ook een mogelijkheid om inloggegevens te kapen. Al moet ik toegeven dat de SMS-code wel risico beperkend werkt door de beperkte geldigheidsduur van de SMS, in tegenstelling tot alleen een gebruikersnaam en wachtwoord.
02-03-2015, 16:13 door Anoniem
Leuk toch dat heel de beveiligingverbeteringsvoorstelling opgebouwd is uit meer gehannes voor, en zelfs verplichten aan, de burger. De hele redenatie is volstrekt eenrichtingsverkeer. Keuze? Pfft, burgers en keuze, kom nou. Zoals altijd, daar niet van. Maar ook hier weer duidelijk zichtbaar. Als je weet tussen de regels door te lezen is de denktrant binnen de overheid zo pijnlijk duidelijk.
02-03-2015, 16:24 door Anoniem
Den Haag gaf wel in de afgelopen 45 jaar ongeveer 200 miljard euro uit aan 'ontwikkelingshulp', maar een miljoentje of meer is weer iets te veel geld uitgegeven. Zeker als het woord beveiliging valt.

Lekker relevant in deze discussie. Overigens is Nederland erg goed in het koppelen van het eigen zakelijk belang aan ontwikkelingshulp. Vaak verdienen we de hulp daardoor simpelweg terug. Maar dat is geen onderwerp voor dit forum.
02-03-2015, 16:31 door Anoniem
Door Anoniem: Wij betalen hier €0,06 per SMS en dat is voor bundels van 25.000 per keer. Ik neem dat je naar €0,03 per SMS moet kunnen bij afname van 158 miljoen...

Bij dit soort volume's een prijs van 0,03 per sms vragen? elke aanbieder zegt direct ja...

€ 0,003 komt eerder als ik dit soort volumes ga inkopen...
02-03-2015, 16:55 door Spiff has left the building
@ Anoniem 15:43,
Dankjewel. Je bent om te zoenen.
02-03-2015, 17:06 door Vandy
Door Predjuh:
Overigens vindt ik 158 miljoen smsjes wel erg veel voor een land met 17 Miljoen inwoners (Waarvan maar een substantieel deel een DigiD heeft, volgens de laatste cijfers zijn dit er ongeveer 10 miljoen) en maar een beperkt aantal diensten waar smsjes voor nodig zijn. Persoonlijk ken ik er zelfs maar één, namelijk het DUO.
Ik heb standaard ingesteld dat altijd een two-step verificatie met sms plaatsvindt bij de DigiD-inlog. Ook bij mijn zorgverzekeraar (die uitsluitend per interwebs communiceert) moet ik inloggen met DigiD (zorgverzekeraar = overheid?). Als ik een declaratie wil indienen, gaat dat via een webportal van de verzekeraar, en ontvang ik dus ook een sms'je van DigiD als ik wil inloggen.

Daarmee haal ik de 15,8 sms'jes per jaar van DigiD wel (eerst declaratie insturen, vervolgens een paar dagen later kijken hoe het ermee staat, en vervolgens nog een derde keer kijken hoeveel ervan daadwerkelijk vergoed wordt en wanneer het wordt uitbetaald).
02-03-2015, 17:57 door Flashback956
Waarom geven ze geen autenticator uit net zoals bij de bank? Of code generator app? Wat is hier nu moeilijk aan?
02-03-2015, 19:56 door spatieman
wat hij in werkelijkheid bedoelt, gaan we het beveiligen, kan de NSA niet meer makkelijk mee gluren.
02-03-2015, 20:52 door Anoniem
Door Flashback956: Waarom geven ze geen autenticator uit net zoals bij de bank? Of code generator app? Wat is hier nu moeilijk aan?
Ja dat doen ze in Belgie ook he?
Maar stel het maar voor hier, en je zult worden neergesabeld. Als de overheid het doet kan het toch nooit goed zijn
bij sommige mensen.
02-03-2015, 21:24 door Anoniem
Als je 158 miljoen SMSjes verzend .... dat mag ik toch hopen dat je een betere deal kunt maken dan 10 cent per stuk.

Maar, gooi het eens op een andere boeg ... wat zou het kosten om ...
aan te sluiten op google authenticator.
of een EV-certificaat zoals dat groene balkie die je ook op https://www.apple.com ziet op digid.nl te zetten en een goede uitleg aan alle Nederlands te geven over hoe je EV-certificaten controleert?
02-03-2015, 22:22 door Eric-Jan H te D
Waarom dringt zich toch de vergelijking met de Groningse gaswinning aan mij op.
02-03-2015, 22:55 door Anoniem
Door Erik van Straten:
Door Redactie: Volgens Plasterk heeft DigiD Midden als groot voordeel ten opzichte van DigiD Basis dat het risico van phishing wordt tegengegaan. Een aanvaller die de inloggegevens via phishing weet te bemachtigen kan nog steeds niet inloggen, aangezien hij niet over de vereiste sms-code beschikt.
Kan iemand mij uitleggen waarom het onmogelijk zou zijn om een phishing website te maken, die als twee druppels water op de DigiD site lijkt, waarop de gebruiker, naast inlogggevens, ook de SMS code invoert?

Misschien moeten ze eens de owasp gaan lezen, want natuurlijk is dat mogelijk.
03-03-2015, 10:02 door B3am
Door Flashback956: Waarom geven ze geen autenticator uit net zoals bij de bank? Of code generator app? Wat is hier nu moeilijk aan?

Zou het dan wel goedkoper worden als de overheid in het zoveelste "mega"-project zelf een authenticator gaat ontwikkelen... ;)
03-03-2015, 12:44 door Anoniem
Vervelend he.. je hangt iets aan internet, je hangt alles aan je ding wat je aan internet hebt gehangen omdat het zo gebruiksvriendelijk is (not) omdat je dan minder personeel nodig hebt (die toch al niets deden) en nu moet je het gaan onderhouden ook nog... verdorie...


Ja, lastig een hersentransplantatie van een amoebe hebben gehad...
04-03-2015, 08:23 door Anoniem
En wat nu als iemand geen mobiel heeft.....
04-03-2015, 09:30 door Anoniem
Door Erik van Straten:
Door Redactie: Volgens Plasterk heeft DigiD Midden als groot voordeel ten opzichte van DigiD Basis dat het risico van phishing wordt tegengegaan. Een aanvaller die de inloggegevens via phishing weet te bemachtigen kan nog steeds niet inloggen, aangezien hij niet over de vereiste sms-code beschikt.
Kan iemand mij uitleggen waarom het onmogelijk zou zijn om een phishing website te maken, die als twee druppels water op de DigiD site lijkt, waarop de gebruiker, naast inlogggevens, ook de SMS code invoert?

Je moet wel instellen dat je altijd met sms inlogd, dus als de phisher ergens inlogd met jouw inloggegevens krijg jij een sms-code en loopt de phisher vast (en weet je dat je je ww moet gaan veranderen)
04-03-2015, 11:58 door Anoniem
Is er ooit al eens een overheid ict-project geweest dat binnen de geraamde kosten is gebleven?
31-03-2015, 13:15 door Anoniem
Door Anoniem: Is er ooit al eens een overheid ict-project geweest dat binnen de geraamde kosten is gebleven?
Nee, en dat zal er nooit komen ook. Als iets binnen budget gaat krijg je de volgende keer minder budget, zodat je het dan zeker niet meer redt!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.