image

Overheid komt met één inlogmiddel voor ondernemers

woensdag 28 juni 2017, 10:12 door Redactie, 7 reacties

Ondernemers hebben straks nog maar één inlogmiddel nodig genaamd eHerkenning om zaken als belastingen, subsidies, voertuigoverschrijvingen en wijzigingen in het Handelsregister te regelen, zo laat het ministerie van Economische Zaken vandaag weten.

Bedrijven kunnen vanaf oktober gefaseerd gebruik gaan maken van het inlogsysteem eHerkenning voor het wijzigen van zakelijke gegevens, zoals de aangifte omzetbelasting. Bestaande zakelijke inlogmiddelen worden op termijn afgeschaft. Op dit moment hebben overheidsorganisaties het identificeren van zakelijke transacties nog op verschillende manieren geregeld. Ondernemers moeten dan telkens inloggen met een aparte gebruikersnaam en wachtwoord. Voor zakelijke transacties met de overheid worden deze inlogmiddelen op termijn vervangen door eHerkenning, waarbij een sms als extra verificatie is vereist.

EHerkenning wordt door de overheid al langer als identificatiemiddel gebruikt, bijvoorbeeld door de Dienst Justis. Door de vandaag aangekondigde grootschalige toepassing krijgen nagenoeg alle bedrijven te maken met eHerkenning. Het ministerie laat weten dat de nieuwe online identificatie ondernemers jaarlijks enkele tientjes gaat kosten, afhankelijk van de leverancier. Volgens het ministerie is betalen voor een digitale sleutel niet nieuw, waarbij als voorbeeld wordt gewezen naar de kosten voor een identiteitskaart of paspoort.

Reacties (7)
28-06-2017, 10:36 door Anoniem
In https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/beveiligingsrichtlijnen-voor-mobiele-apparaten/1/Beveiligingsrichtlijnen%2Bvoor%2Bmobiele%2Bapparaten%2Bdeel%2B1.pdf geeft het NCSC aan (paragraaf 2.4) dat SMS kan worden afgeluisterd:

"Door zwakheden in de beveiliging van gsmcommunicatie kunnen bijvoorbeeld telefoongesprekken en sms-berichten worden afgeluisterd."

Waarom gebruikt de overheid dan nog SMS als second factor?
28-06-2017, 11:27 door karma4
Door Anoniem: In https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/beveiligingsrichtlijnen-voor-mobiele-apparaten/1/Beveiligingsrichtlijnen%2Bvoor%2Bmobiele%2Bapparaten%2Bdeel%2B1.pdf geeft het NCSC aan (paragraaf 2.4) dat SMS kan worden afgeluisterd:

"Door zwakheden in de beveiliging van gsmcommunicatie kunnen bijvoorbeeld telefoongesprekken en sms-berichten worden afgeluisterd."

Waarom gebruikt de overheid dan nog SMS als second factor?
Risico kosten baten. Als is het voor veiligheidsdiensten die net andere staatsmogenheden rekening moeten houden af te raden is kan het voor burgers banken als 2fa nog goed genoeg zijn.
Het gaat niet om de absolute veiligheid want die bestaat niet. Het om risico kans impact.
28-06-2017, 12:28 door Anoniem
Door karma4:
Door Anoniem: [...] Waarom gebruikt de overheid dan nog SMS als second factor?
Risico kosten baten.
Je vergeet de grootste factoren: Inertie en "de regeltjes", opgesteld door mensen die het ook niet weten en dus maar afgaan op "experts", die ingehuurd en wel precies vertellen wat hun favoriete leveranciers het meeste geld oplevert, of op rapportjes die net zo goed al lang achterhaald kunnen zijn. Die inertie zorgt ook voor een informatievacuüm.
28-06-2017, 14:02 door Anoniem
@SMS: (1) af te luisteren wil nog niet zeggen dat men er iets mee kan, (2) het is een extra verificatie, d.w.z. een andere moet al gelukt zijn. De kans dat meerdere verificatiestappen ten onrechte lukken, al zijn ze 1% lek (en waarschijnlijk is dat < 0,01%), is vrij klein.
28-06-2017, 14:20 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: [...] Waarom gebruikt de overheid dan nog SMS als second factor?
Risico kosten baten.
Je vergeet de grootste factoren: Inertie en "de regeltjes", opgesteld door mensen die het ook niet weten en dus maar afgaan op "experts", die ingehuurd en wel precies vertellen wat hun favoriete leveranciers het meeste geld oplevert, of op rapportjes die net zo goed al lang achterhaald kunnen zijn. Die inertie zorgt ook voor een informatievacuüm.
Weet jij het zoveel beter dan? Wat adviseer jij de overheid met je kennis van vandaag?
(en garandeer je dat dit advies niet volgende maand "hardstikke dom" blijkt te zijn? wat het gebruik van SMS nog niet is)
28-06-2017, 15:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4:
Door Anoniem: [...] Waarom gebruikt de overheid dan nog SMS als second factor?
Risico kosten baten.
Je vergeet de grootste factoren: Inertie en "de regeltjes", opgesteld door mensen die het ook niet weten en dus maar afgaan op "experts", die ingehuurd en wel precies vertellen wat hun favoriete leveranciers het meeste geld oplevert, of op rapportjes die net zo goed al lang achterhaald kunnen zijn. Die inertie zorgt ook voor een informatievacuüm.
Weet jij het zoveel beter dan?
Wat is dat voor domme reactie? De vraag was "hoe werkt dit?", en het antwoord is "nou, zo dus". Dan is stante pede een betere oplossing van de uitlegger eisen een herkenbare verdedigingsreflex maar niet daarom ook maar nutig.

Wat adviseer jij de overheid met je kennis van vandaag?
Het simpelst is wellicht (relevante onderdelen van) de overheid tot de grond toe afbreken en opnieuw opbouwen. Gewoon omdat die inertie verbetering "van binnenuit" behoorlijk in de weg zit.Zijn we gelijk dat dode Ambtenarenhout kwijt.

(en garandeer je dat dit advies niet volgende maand "hardstikke dom" blijkt te zijn? wat het gebruik van SMS nog niet is)
Garandeert de overheid wel dat ze niet hartstikke dom zijn? Nou?
01-07-2017, 13:12 door Anoniem
Het is onmogelijk om (als beveiligingsexpert) iets veilig te verklaren.
Dat berust namelijk altijd op de drogreden 'evidence of absence'.
Dat JIJ geen methoden van misbruik kunt verzinnen staat niet gelijk aan veilig zijn.
Daarnaast heb je proportionaliteit van veiligheidsmaatregelen. Als bekende omzeilmethoden zoals bv bruteforce cracking meer moeite/tijd/geld kosten dan het maximaal kan opleveren, dan is het in principe goed beveiligd, zelfs als het kraakbaar is.

In een gemeentehuis kaartte ik eens aan dat de aangesloten usb hubs op de monitoren die met de achterkant naar de klant toe stonden(/staan?) een behoorlijk beveiligingsrisico representeerden. (denk aan usb keyloggers/usb keyboard macro executers/spyware/virussen/etc). Als klant kon je daar ongezien bij en dat leek me niet echt de bedoeling. De man die daarover ging verklaarde me nog net niet voor gek(maar achter de schermen vast helemaal).. Hij herkende duidelijk de risicos niet en waande het veilig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.