Logius: geen onveilige situatie met DigiD-aansluiting coronatest.nl
Er is op dit moment geen sprake van een onveilige situatie met de DigiD-aansluiting van de GGD-website coronatest.nl, zo stelt Logius, de ict-dienstverlener van het Rijk en voor DigiD verantwoordelijke overheidsinstantie. Logius reageerde vanavond op berichtgeving van de NOS. De omroep kwam gisteren met het nieuws dat coronatest.nl niet goed genoeg beveiligd is.
Iedere organisatie die gebruikmaakt van DigiD moet aan een aantal beveiligingseisen voldoen. Hierop wordt toegezien door Logius. GGD GHOR, de koepelorganisatie van de GGD'en en GHOR-bureaus, maakt voor de website coronatest.nl gebruik van DigiD. Burgers kunnen daarmee op de website inloggen voor het maken van een testafspraak of het bekijken van hun testuitslag.
Uit een assessment die Logius uitvoerde blijkt dat coronatest.nl op zes punten niet voldoet aan de beveiligingseisen die voor het gebruik van DigiD gelden. Daarop heeft de koepelorganisatie actie ondernomen. Op twee punten is de gestelde termijn echter niet behaald, zo liet minister De Jonge van Volksgezondheid gisteren ook aan de Tweede Kamer weten.
"Het klopt dat we op dit moment nog niet aan alle normeringseisen van DigiD op de website coronatest.nl voldoen", stelt GGH GHOR. "Er is voor een tweetal normen ongeveer drie weken vertraging opgelopen, waardoor we op dit moment dus nog niet voldoen aan alle eisen. Voor de overige vier normen lopen we op schema en verwachten we een tijdige oplevering."
Volgens de koepelorganisatie is het systeem veilig te gebruiken en zijn er geen aanwijzingen van misbruik. De twee nog openstaande beveiligingseisen hebben betrekking op het 'controleerbaar aantoonbaar maken van de veiligheid' van het systeem. Begin maart verwacht GGD GHOR dat de DigiD-aansluiting aan deze eisen voldoet.
"Nieuwe aansluitingen moeten een ICT-beveiligingsassessment ondergaan, waarna dit jaarlijks moet worden herhaald", reageert Logius in de verklaring. "Met GGD GHOR Nederland wordt het reguliere proces doorlopen, dat is een zaak tussen Logius als toezichthouder en GGD GHOR Nederland. Er is op dit moment geen sprake van een onveilige situatie."
Tegen de tijd dat er wel aanwijzingen voor misbruik zijn, ben je gewoon keihard te laat. Beveiliging draait er nou juist om dat je voorkomt dat die aanwijzingen er komen!
Snappen ze het nou zelf niet? Of is dit weer een blaat verhaal om mensen vooral in slaap te sussen. Er zijn tenslotte geen aanwijzingen voor misbruik...
Tegen de tijd dat er wel aanwijzingen voor misbruik zijn, ben je gewoon keihard te laat. Beveiliging draait er nou juist om dat je voorkomt dat die aanwijzingen er komen!
Snappen ze het nou zelf niet? Of is dit weer een blaat verhaal om mensen vooral in slaap te sussen. Er zijn tenslotte geen aanwijzingen voor misbruik...
Op zich best wel wat meer vertrouwen in de inschatting van DigiD dan die van een ‘Anoniem’.
Zei een ‘Anoniem’. ;-)
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
En er is ten minste een organisatie die eisen stelt om aan te sluiten.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Misschien zou je je er eens echt in kunnen verdiepen, in plaats van deze onzin uit te kramen.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
En er is ten minste een organisatie die eisen stelt om aan te sluiten.
Met bovendien op steeds meer sites een verplichte MFA.
Waarbij, anders dan bij veel andere centrale authenticatie-diensten, je een melding krijgt van de organisatie waar je volgens DigiD bij inlogt. Je kunt dus controleren of er niet onderhands iets anders aan de hand is.
Peter
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Dus een ramp in wording lijkt me vrij overdreven.
Ik heb in het verleden me bezig moeten houden met beveiligen van een omgeving waarin DigiD gebruikt werd. Er werden (voor toen) goede, logische eisen gesteld aan de omgeving en testen op beveiliging hiervan.
Ik heb de laatste jaren niet meer naar de eisen gekeken, maar ik verwacht dat ALS dit niet goed of logisch zou zijn, menig beveiligingsspecialist hier al melding van had gemaakt.
"In het kader van de vertrouwelijkheid kunnen we geen uitspraken doen over de normeringseisen."
Awel, deze kun je hier vinden: https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties
Zo vertrouwelijk!
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
Briolet ben bekend hoe DiGiD werkt. Het klopt dat je inlogt bij DiGiD en niet bij de verschillende sites. Je logt in bij DiGiD met je DiGiD en DiGiD geeft dan door aan de betreffende sites dat jij degene bent die je beweert te zijn. DiGiD kan NIET werkelijk controleren of jij degene bent die je beweerd te zijn. Het enige wat DiGiD controleert is of de inlog gegevens kloppen. Wederom als je gehackt bent en dat hoef je helemaal niet te merken dan kan er overal ingelogd worden uit jouw naam, want ja de DiGiD inlog gegevens kloppen. Wat hier altijd vergeten wordt is dat de gebruiker de zwakste schakel in het systeem is.
Toen was Logius heel erg strak in dat het pas online mocht nadat alles goed was geregeld...
Maar de GGD mag hier meer dan een jaar over doen?
Ik ruik een cover-up of in ieder geval niet gelijke monikken-gelijke kappen...
In dit geval zou het kunnen zijn dat Logius gezien het grote belang van de toegang heeft besloten tijdelijk iets meer risico te nemen op basis van de specifieke tekortkomingen, zonder dat DigiD zelf in gevaar komt.
Dat kan alleen Logius doen want die is eigenaar van de DigiD-toegang. Logius loopt hier dus het risico.
De GGD bedoelde met "In het kader van de vertrouwelijkheid kunnen we geen uitspraken doen over de normeringseisen."
waarschijnlijk dat ze niet willen/mogen zeggen op welke punten ze dan nog niet voldoen. Wat logisch is.
Niks coverup oid. Logius zou ook kunnen zeggen: pas DigiD als alles op orde is, maar dat zal niet echt geaccepteerd worden.
Zeker gezien het feit dat er nog wel meer overheidssites nog niet helemaal op orde zijn vvw dit betreft.
Blijkbaar weet je niet hoe DidiD werkt. Je logt namelijk niet in bij verschillende sites met je accountgegevens, maar alleen bij DigiD zelf. Daarna geeft DigiD door aan de betreffende sites dat jij diegene bent die je beweerd te zijn.
Gewoon een veilig systeem die er blijkbaar ook op toe ziet dat de site aan een minimum veiligheidsniveau moet voldoen. Bij andere sites is er geen externe controle op de veiligheid en hoor je er pas iets over nadat er iets mis gegaan is.
Briolet ben bekend hoe DiGiD werkt. Het klopt dat je inlogt bij DiGiD en niet bij de verschillende sites. Je logt in bij DiGiD met je DiGiD en DiGiD geeft dan door aan de betreffende sites dat jij degene bent die je beweert te zijn. DiGiD kan NIET werkelijk controleren of jij degene bent die je beweerd te zijn. Het enige wat DiGiD controleert is of de inlog gegevens kloppen. Wederom als je gehackt bent en dat hoef je helemaal niet te merken dan kan er overal ingelogd worden uit jouw naam, want ja de DiGiD inlog gegevens kloppen. Wat hier altijd vergeten wordt is dat de gebruiker de zwakste schakel in het systeem is.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Verklaart u nader.
FI&AM werkt anders best goed. En DigiD is een prima product.
DiGiD gebruiken voor het inloggen met dezelfde gebruikers naam en wachtwoord bij totaal verschillende sites, een ramp in wording.
Verklaart u nader.
FI&AM werkt anders best goed. En DigiD is een prima product.
Toen was Logius heel erg strak in dat het pas online mocht nadat alles goed was geregeld...
Maar de GGD mag hier meer dan een jaar over doen?
Ik ruik een cover-up of in ieder geval niet gelijke monniken-gelijke kappen...
De eisen bij Logius zijn in juni aangescherpt. De kans is heel groot, dat de site al voor juni live was en op dat moment keurig aan de voorwaarden voldeed.
En nu de jaarlijkse assessment eraan komt, blijken er tov de nieuwe eisen nog het eea gedaan te moeten worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.