Plasterk: extra beveiliging DigiD zou miljoenen kosten
Het extra beveiligen van DigiD zou miljoenen euro's kosten, waardoor de kosten niet tegen de opgelopen schade opwegen. Dat laat minister Plasterk van Binnenlandse Zaken in een brief aan de Tweede Kamer weten. Op dit moment kent DigiD de niveaus Basis en Midden. Voor Basis identificeren gebruikers zich met een gebruikersnaam en een wachtwoord; voor Midden identificeren gebruikers zich met een gebruikersnaam, een wachtwoord én een sms-code.
Volgens Plasterk heeft DigiD Midden als groot voordeel ten opzichte van DigiD Basis dat het risico van phishing wordt tegengegaan. Een aanvaller die de inloggegevens via phishing weet te bemachtigen kan nog steeds niet inloggen, aangezien hij niet over de vereiste sms-code beschikt. De minister stelt dat phishing tot de grootste problemen behoort als het gaat om fraude en oneigenlijk gebruik van digitale dienstverlening, zowel binnen als buiten de overheid.
Een nog hoger beveiligingsniveau voor DigiD is "STORK 3", waarbij de uitgifte van DigiD en activeringscodes "face to face" verloopt, bijvoorbeeld via thuisbezorging of balie-uitgifte. Deze methoden worden momenteel op beperkte schaal toegepast. Het thuisbezorgen vindt plaats in bepaalde postcodegebieden met een verhoogd risico en DigiD buitenland kent een vorm van balie-uitgifte. Het hoogste betrouwbaarheidsniveau (STORK 4) is nog niet beschikbaar. Dit niveau werkt met gekwalificeerde elektronische certificaten.
Versterkingsagenda DigiD
Vorig jaar kondigde Plasterk een versterkingsagenda voor DigiD aan. De Tweede Kamer vroeg de minister vervolgens om de kosten van het extra beveiligen van DigiD in kaart te brengen. Het gaat dan om het (verplicht) gebruik van DigiD Midden, het vertekend versturen van alle brieven met activeringscodes, de uitgifte van alle brieven met activeringscodes aan de balie van gemeenten en het overal thuisbezorgen van alle brieven met activeringscodes, zoals nu gebeurt in risicovolle postcodegebieden.
Als er wordt gekeken naar het gebruik van DigiD in 2014 zou alleen het verplichten van DigiD Midden bijna 16 miljoen euro kosten. Het thuisbezorgen van de activatiecodes zou met het DigiD-gebruik van vorig jaar zelfs op 70 miljoen euro zijn uitgekomen. Plasterk stelt dat uit navraag bij verschillende grote overheidsinstellingen blijkt dat het aantal schadegevallen direct gerelateerd aan het betrouwbaarheidsniveau van DigiD bij hen relatief laag is. Het zou om enkele tienduizenden euro's gaan. "Vanuit financieel oogpunt wegen de geraamde aanvullende beveiligingskosten daarom op dit moment niet op tegen de schade die wordt opgelopen", aldus de minister.
Verdere ontwikkelingen
De overheid werkt op dit moment aan het realiseren van het eID Stelsel, waarin private en publieke middelen kunnen worden ingezet voor authenticatie. In de eerste plaats wordt een alternatief voor het redelijk kostbare DigiD Midden met sms gerealiseerd, dat tegen lagere kosten op grote schaal kan worden toegepast. In februari is met de bouw van de beoogde oplossing gestart. Medio 2015 wordt de beoogde oplossing getest in een pilot. Mocht de pilot succesvol blijken, dan zal besloten worden over de uitrol en de daarmee samenhangende financiële consequenties.
Verder zullen enkele grote uitvoeringsinstanties in 2015 pilots uitvoeren met het toepassen van een extra controle na het inloggen met DigiD. Die extra controle vindt plaats door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument, zoals de Nederlandse identiteitskaart en het rijbewijs. Daarmee wordt het mogelijk authenticaties met betrouwbaarheidsniveau STORK 3 uit te voeren. Mochten de pilots succesvol zijn, zal Plasterk laten onderzoeken of, wanneer en tegen welke kosten deze methode overheidsbreed kan worden toegepast.
Beveiligingsnorm
Als laatste besteedt de minister in zijn brief aandacht aan het oplossen van onvolkomenheden in de beveiligingsnorm voor DigiD. De Algemene Rekenkamer constateerde dat de DigiD-omgeving in 2013 niet volledig voldeed aan een deel van de normen van het Nationaal Cyber Security Centrum (NCSC) voor de beveiliging van webapplicaties. Plasterk had maatregelen aangekondigd zodat in 2014 de DigiD-omgeving volledig zou voldoen aan die normen van het NCSC.
Nu meldt de minister dat gedurende 2014 de DigiD-omgeving nog niet volledig voldeed aan alle normen van het NCSC voor de beveiliging van webapplicaties. "Er is in 2014 veel in gang gezet om verbeteringen in het beheer van DigiD te realiseren." Inmiddels zouden de geconstateerde bevindingen grotendeels zijn verholpen. Dit moet nog wel door een IT-audit worden vastgesteld. Deze audit zal naar verwachting in het eerste kwartaal van dit jaar zijn afgerond. Er resteren dan nog twee bevindingen, die volgens Plasterk naar verwachting vóór de zomer van 2015 zijn opgelost.
wel bij dezelfde partij liggen! Het kan niet zo zijn dat men afweegt dat de kosten voor de overheid groter zijn dan
het risico bij de burger.
Dus als er zo'n beslissing genomen wordt dan moet daar onlosmakelijk aan gekoppeld worden dat het risico ook bij
de overheid ligt. DWZ als de digid gehacked is en er zijn bedragen door de belastingdienst betaald aan een hacker
dan moet de belastingdienst niet gaan proberen die bedragen terug te vorderen, of alsnog door de eigenaar van de
digid aangevraagde bedragen weigeren te betalen.
Overigens vindt ik 158 miljoen smsjes wel erg veel voor een land met 17 Miljoen inwoners (Waarvan maar een substantieel deel een DigiD heeft, volgens de laatste cijfers zijn dit er ongeveer 10 miljoen) en maar een beperkt aantal diensten waar smsjes voor nodig zijn. Persoonlijk ken ik er zelfs maar één, namelijk het DUO.
Volgende, 3 miljoen aangetekende activeringscodes ? huh ? Deze activeringscode krijg je toch alleen als je een DigiD moet activeren? Dus na 6 jaar hebben 18 miljoen mensen een DigiD en gaat ergens iets mis als je jaarlijks nog 3 miljoen mensen laat activeren en dat terwijl we maar 10 miljoen gebruikers hebben en in in 2013 we 286 000 nieuwe DigiD's werden geactiveerd, waar zijn die andere 2,7 miljoen jaarlijkse activeringen voor nodig ? (Dan hebben we het nog niet eens over de prijs, immers betaalde de consument dezelfde prijs voor aangetekende verzending.
Dit zelfde geld voor de balie uitgiftes, als er in 2013 zo ongeveer 286 000 nieuwe DigiD's zijn uitgegeven zijn die of aangetekend verzonden, of thuis bezorg of uitgegeven bij een balie. Feitelijk is er dus een groot vraag hoe de beste meneer aan de aantallen komt ? Ik mis er namelijk nog 8,7 miljoen.... en mag vanuit gaan dat als mensen reeds een DigiD hebben en deze kwijtraken e.d.g. dat men een vergoeding moet betalen voor het aanmaken van een nieuwe DigiD.
Afgezien van nog enkele aspecten die niet kloppen in het verhaal mis ik een de paragraaf "resultaten" aangezien DigiD kostenbesparend moet zijn. Als het aantal gebruikers en aantal acties via DigiD toenemen zou dit moment betekenen dat het aantal besparingen ook toeneemt. Het dus helemaal niet erg als de kosten met 1 miljoen stijgen als daarmee 10 miljoen aan besparingen wordt gerealiseerd. En als DigiD nu helemaal niet tot besparingen leidt maar alleen maar tot kosten zou de minister morgen moeten zeggen; De stekker uit DigiD !
Een aanvullende toelichting is dan wel vereist, voordat je in een kamp geplaatst wordt waar je politiek misschien niet wil zitten.
Dus; inderdaad, nu je het zegt!
Waar maken we ons druk over, anderen kunnen dat geld veel beter gebruiken!
Voor bijvoorbeeld het acceptabel verhogen van een levensstandaard tot op zijn minst een minimale.
Over veiligheid gesproken.
Weet je wat?
Laten we doorgaan op oude voet met de volgende aanpassing.
We nemen het fraude risico voor lief, dat wil zeggen dat in de gevallen van fraude de staat die ettelijke tienduizenden euro's uitkeert aan de benadeelden.
Kijken we naar het totale bedrag a 143.300.000 dat bespaard wordt en relateren we dat zoals Forrester dat graag ziet aan de ontwikkelingshulp die we altijd gaven, dan is het wel zo menselijk dat weer in zekere ere te herstellen.
Niet op een miljoentje meer of minder kijken en die flinke besparingen van afgelopen jaren terug te brengen door de besparingen op DigiD security nu op zijn minst een beetje te delen met diegenen die het werkelijk nodig hebben.
Herstellen we dus het budget voor ontwikkelingshulp weer wat, daar was met allerlei egoistische drogredenen flink op bezuinigd. Ze heeft daarnaast ondanks die bezuinigingen ook geen positief resultaat gehad op de gang van allerlei andere zaken hier.
Kijk maar naar de stand van zaken rondom DigiD.
Terug dus dat bespaarde geld naar ontwikkelingshulp. Op zijn minst een aardig deel van die 143.300.000.
Nobel en sociaal dus van je om dat zo aan te kaarten!
Ik ben het helemaal met je eens,
dat DigiD risico kunnen we wel afdekken zodat we weer kunnen investeren in het afdekken van veel grotere risico's voor anderen die het harder nodig hebben en dat sociale beeld dat buitenstaanders van dat 'tolerante' Nederland hebben weer een beetje eer wordt aangedaan.
Nederlanders gaat het echt niet alleen maar om de eigen knip.
Retorische vraag? ;)
Volgens mij weten wij wel beter maar misschien is het gewoon leuk om die vraag om Plasterk te stellen om te big-smile op zijn antwoord af te wachten....
Overigens lijkt me een stukje malware dat automatisch web-injects uitvoert ook een mogelijkheid om inloggegevens te kapen. Al moet ik toegeven dat de SMS-code wel risico beperkend werkt door de beperkte geldigheidsduur van de SMS, in tegenstelling tot alleen een gebruikersnaam en wachtwoord.
Lekker relevant in deze discussie. Overigens is Nederland erg goed in het koppelen van het eigen zakelijk belang aan ontwikkelingshulp. Vaak verdienen we de hulp daardoor simpelweg terug. Maar dat is geen onderwerp voor dit forum.
Bij dit soort volume's een prijs van 0,03 per sms vragen? elke aanbieder zegt direct ja...
€ 0,003 komt eerder als ik dit soort volumes ga inkopen...
Dankjewel. Je bent om te zoenen.
Overigens vindt ik 158 miljoen smsjes wel erg veel voor een land met 17 Miljoen inwoners (Waarvan maar een substantieel deel een DigiD heeft, volgens de laatste cijfers zijn dit er ongeveer 10 miljoen) en maar een beperkt aantal diensten waar smsjes voor nodig zijn. Persoonlijk ken ik er zelfs maar één, namelijk het DUO.
Daarmee haal ik de 15,8 sms'jes per jaar van DigiD wel (eerst declaratie insturen, vervolgens een paar dagen later kijken hoe het ermee staat, en vervolgens nog een derde keer kijken hoeveel ervan daadwerkelijk vergoed wordt en wanneer het wordt uitbetaald).
Maar stel het maar voor hier, en je zult worden neergesabeld. Als de overheid het doet kan het toch nooit goed zijn
bij sommige mensen.
Maar, gooi het eens op een andere boeg ... wat zou het kosten om ...
aan te sluiten op google authenticator.
of een EV-certificaat zoals dat groene balkie die je ook op https://www.apple.com ziet op digid.nl te zetten en een goede uitleg aan alle Nederlands te geven over hoe je EV-certificaten controleert?
Misschien moeten ze eens de owasp gaan lezen, want natuurlijk is dat mogelijk.
Zou het dan wel goedkoper worden als de overheid in het zoveelste "mega"-project zelf een authenticator gaat ontwikkelen... ;)
Ja, lastig een hersentransplantatie van een amoebe hebben gehad...
Je moet wel instellen dat je altijd met sms inlogd, dus als de phisher ergens inlogd met jouw inloggegevens krijg jij een sms-code en loopt de phisher vast (en weet je dat je je ww moet gaan veranderen)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.