Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting
Een medewerker van Justis heeft meerdere rapporten vervalst over de beveiliging van de gebruikte DigiD-aansluiting. Dat heeft minister Weerwind voor Rechtsbescherming aan de Tweede Kamer gemeld. De Auditdienst Rijk (ADR) is de interne auditor van de Rijksoverheid en doet onderzoek naar allerlei onderwerpen. Ook geeft het adviezen op onder andere het gebied van informatiebeveiliging. De ADR kan op verzoek van ministeries en agentschappen onderzoeken uitvoeren. In opdracht van Justis had de Auditdienst Rijk onderzoek gedaan naar de beveiliging van de gebruikte DigiD-aansluiting.
Organisaties die van DigiD gebruikmaken moeten jaarlijks een 'beveiligingsassessment' laten uitvoeren. Zo wordt gecontroleerd of de koppeling van DigiD met de webapplicatie van de aangesloten organisatie wel voldoet aan de beveiligingseisen. Justis is een overheidsorganisatie die de betrouwbaarheid van personen en organisaties beoordeelt en is onder andere verantwoordelijk voor het afgeven van VOG's die werkgevers of organisaties van hun personeel kunnen vragen.
Het onderzoek van de ADR richtte zich specifiek op de webomgeving ‘Digitaal Aanvragen’ van Justis. Met behulp van deze webapplicatie is het mogelijk om via internet een Verklaring omtrent gedrag (VOG) en een aantal andere producten van Justis aan te vragen. Daarvoor moeten gebruikers via DigiD inloggen. In februari werd ontdekt dat er verschillen zaten tussen de beveiligingsassessments van DigiD die de ADR aan Justis levert, en de beveiligingsassessments die Justis naar Logius stuurt, de beheerder van DigiD.
Uit het digitaal forensisch onderzoek dat na de ontdekking werd uitgevoerd blijkt dat tussen 2018 en 2022 elf rapporten zijn aangepast of nagemaakt. In deze periode zijn voor DigiD, na het eerste volledige rapport in 2018 dat niet is aangepast of nagemaakt, alle volgende vier volledige rapporten aangepast en alle vier verbeterrapporten nagemaakt.
Het onderzoek liet ook zien dat auditrapportages van een andere dienst die Justis gebruikt ook zijn aangepast. Het gaat hier om de dienst Suwinet, waarmee overheidsorganisaties op een veilige en snelle manier gegevens van burgers en bedrijven digitaal met elkaar kunnen delen. Voor Suwinet is in 2020 een rapport aangepast en zijn in 2021 en 2022 twee rapporten nagemaakt.
Volgens de onderzoekers zijn de aanpassingen en vervalsingen het werk van één Justis-medewerker. "Na zorgvuldig onderzoek zijn maatregelen genomen richting de medewerker. De medewerker is niet meer werkzaam bij de Rijksoverheid", aldus minister Weerwind. Inmiddels hebben diverse (her)audits op de betreffende systemen plaatsgevonden. Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan, maar het lopende onderzoek moet dit definitief uitsluiten.
En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
Maar ja... Overheid en rechtspraak gaan niet altijd samen......
Nu is de vraag: wat waren de verschillen?
Is de boel meer lek dan de deden alsof het was?
Uit de bijlage van de beslisnota (bij punt 4):
"Inmiddels hebben diverse (her)audits op de betreffende systemen plaatsgevonden. Er lijkt geen sprake te zijn dat zich grote risico’s of kwetsbaarheden hebben voorgedaan. Het nog lopende deelonderzoek van Fox IT moet dit definitief uitsluiten.
Op basis van dit incident herijkt de ADR hun processen bij de (DigiD) audits, vooral het proces van hoor en wederhoor (met bewerkbare documenten).
Daarnaast doet Fox IT nader onderzoek (fase 3) hoe dit 5 jaar lang onopgemerkt heeft kunnen blijven. Verdere vervolgacties worden op de conclusies van dit rapport gebaseerd."
De ouderen onder ons kennen dit liedje nog wel van “ ‘t Schaep met de 5 pooten”
Snap niet waarom dit soort documenten niet gesigned hoeven worden, Logius is nota bene degene die dit regelt voor de overheid.
https://www.logius.nl/domeinen/toegang/pkioverheid/hoe-werkt-het
https://www.rijksoverheid.nl/onderwerpen/digitale-overheid/vraag-en-antwoord/wat-is-een-elektronische-handtekening
Zie ook: https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid#
Totale speculatie , maar ik denk iemand die veel last zou hebben van een gefaalde audit , en misschien zelfs met een overmatig hart voor z'n team ofzo.
Dan kan een kleine eerste stap zijn om het audit rapport 'even te laten voorlopen op de feiten' want de faalpunten worden binnenkort toch opgepakt, en heeft niemand last van de heisa van een audit met fails .
Als daar dan ook persoonlijke of afdelingsbeoordelingen aan vast hangen komt die verleiding in de buurt .
En ja - dan moet later misschien hetzelfde kunstje nog eens gedaan worden want de verbeteringen zijn uitgesteld , ofzo.
Misschien ook gewoon een wat rare persoonlijke kronkel, die geen falen kon accepteren
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Een sootgelijke vraag kun je ook stellen over een leraar die aan eindexamens loopt te sleutelen zodat leerlingen een beter resultaat krijgen.
https://nos.nl/artikel/2478820-docent-verbetert-antwoorden-in-eindexamen-economie-van-vmbo-leerlingen
"Is dat bewuste sabotage, luiheid, etc."
Of is dat een groot hart hebben en fouten/foutjes proberen te verbloemen of vergoeilijken.
Niet dat dat de acties van beide personen verontschudigd. Ze zijn dan ook allebij gestraft.
Maar om meteen het slechtste van iemand te denken zegt ook iets over de vraagsteller zelf. :-)
Een belangrijkere vraag is, hoe dit er doorheen heeft kunnen glippen en 5 jaar onopgemerkt kon blijven voortduren.
Zo betrouwbaar zijn deze audits dus in de praktijk. (kun je als een mogelijke conclusie trekken)
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Een sootgelijke vraag kun je ook stellen over een leraar die aan eindexamens loopt te sleutelen zodat leerlingen een beter resultaat krijgen.
https://nos.nl/artikel/2478820-docent-verbetert-antwoorden-in-eindexamen-economie-van-vmbo-leerlingen
"Is dat bewuste sabotage, luiheid, etc."
Of is dat een groot hart hebben en fouten/foutjes proberen te verbloemen of vergoeilijken.
Niet dat dat de acties van beide personen verontschudigd. Ze zijn dan ook allebij gestraft.
Maar om meteen het slechtste van iemand te denken zegt ook iets over de vraagsteller zelf. :-)
Een belangrijkere vraag is, hoe dit er doorheen heeft kunnen glippen en 5 jaar onopgemerkt kon blijven voortduren.
Zo betrouwbaar zijn deze audits dus in de praktijk. (kun je als een mogelijke conclusie trekken)
Waarom denk je dat een bepaald verbeterpunt uit de audit snel of uberhaupt zichtbaar zal zijn ?
Ik kan van alles verzinnen dat vrijwel niet opvalt maar wel in een audit rapport kan komen te staan :
De zoveelste update van aanbevolen cipher suites van een vaste SSL koppeling , en dan een koppeling die nog wat inmiddels deprecated ciphersuites toestaat .
Misschien niet voldoende frequent updaten van admin passwords op één van de betrokken servers ?
Gegeven de formulering 'koppeling digid en één van de afnemers van een digid login' denk ik dat het geheel een behoorlijk 'intern' verhaal is, met heel weinig directe zichtbaarheid naar de buitenwereld - en dan is het niet heel gek dat het vijf jaar niet opvalt dat het audit rapport en de werkelijkheid uit elkaar lopen.
Dit klinkt te vreemd om er niet op los te speculeren; de overheid die de overheid manipuleert?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Niet volgens mij, maar bewezen: is dat Rutte een leugenaar is, of niet?
Hij doet hetzelfde als zijn baas doet, liegen en bedriegen.
Dat heet in de volksmond "managen".
Vraag het maar eens na bij je eigen baas op het werk (of de echte baas thuis).
Kinderen worden ook met enige regelmaat belogen en bedrogen door de volwassenen om hun heen. (Voor hun eigen bestwil, en tere zieltjes) Dan krijgen ze het al met de paplepel binnen.
Jong geleerd, oud gedaan.
:-)
En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
Niet correct, de identity provider verplicht de afnemer zich onafhankelijk (ook van de provider) te laten controleren.
Waarom ?
Vzviw zegt een VoG alleen iets omtrent een veroordeling .
Op moment lijkt er alleen een strafontslag te zijn.
1) Waarom zijn deze rapporten dan vervalst?
2) Wat precies werd vervalst?
3) Waarom horen we niet het wederhoor van de beschuldigde partij?
Dit zijn maar een aantal vragen die ik heb, want men gaat er maar vanuit dat de betreffende ambtenaar fout c.q. verkeerd gehandeld heeft. Maar omdat er geen verklaring is afgegeven over dit gedrag, moeten we nu gissen of dit gebeurd is wegens criminaliteit of een andere belangrijke reden die wij mogelijk niet mogen weten.
MVG - een ex-klokkenluider -
Totale speculatie , maar ik denk iemand die veel last zou hebben van een gefaalde audit , en misschien zelfs met een overmatig hart voor z'n team ofzo.
Dan kan een kleine eerste stap zijn om het audit rapport 'even te laten voorlopen op de feiten' want de faalpunten worden binnenkort toch opgepakt, en heeft niemand last van de heisa van een audit met fails .
Als daar dan ook persoonlijke of afdelingsbeoordelingen aan vast hangen komt die verleiding in de buurt .
En ja - dan moet later misschien hetzelfde kunstje nog eens gedaan worden want de verbeteringen zijn uitgesteld , ofzo.
Misschien ook gewoon een wat rare persoonlijke kronkel, die geen falen kon accepteren
Ja ga hier maar vanuit, geen slechtheid, meer de druk en het continue tegen dezelfde muren oplopen om bepaalde zaken correct te krijgen wordt een grote last voor bepaald persoon die verantwoordelijkheid heeft, dat heeft hier vast meegespeeld.
Overheid en veiligheid wel? (Groningen)
En dat is het dan?
Dit soort acties zouden toch een juridisch staartje moeten hebben? Toch?
e.e.a. wordt al opgesomd in de derde post onder dit artikel.
Er komt vast nog een staartje.
Vreemde mogendheden, bijv een alphabet agency ofzo?
Zie ook: https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/mededelingen-ict-beveiligingsassessment-digid#
https://www.logius.nl/domeinen/toegang/digid/ict-beveiligingsassessments-digid/it-auditrapportage-voor-digid
Gebruik trouwens alsjeblieft de url-tags als je urls plaatst. Dan kan erop geklikt worden.
Vreemde mogendheden, bijv een alphabet agency ofzo?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.