Digitale handtekening moet vervalsen rapporten DigiD-aansluiting tegengaan
Vanaf volgend jaar januari moet het zo goed als onmogelijk zijn om rapporten over de beveiliging van DigiD-aansluitingen te vervalsen, zo heeft demissionair staatssecretaris Van Huffelen laten weten op Kamervragen van de VVD. Organisaties die van DigiD gebruikmaken moeten jaarlijks een 'beveiligingsassessment' laten uitvoeren. Zo wordt gecontroleerd of de koppeling van DigiD met de webapplicatie van de aangesloten organisatie wel voldoet aan de beveiligingseisen.
De Auditdienst Rijk (ADR) voert deze onderzoeken uit en verstrekt het rapport vervolgens aan de betreffende organisatie. Die moet het rapport vervolgens doorsturen naar DigiD-beheerder Logius. Een medewerker van Justis bleek meerdere rapporten over de beveiliging van de gebruikte DigiD-aansluiting te hebben vervalst. Het ging daarbij om onderzoeken naar de DigiD-aansluiting van de omgeving om digitaal een Verklaring omtrent gedrag (VOG) aan te vragen en de dienst Suwinet. De medewerker is inmiddels niet meer werkzaam bij de Rijksoverheid.
"Voor het betreffende proces binnen Justis werd tot maart 2023 geen gebruik gemaakt van het vierogenprincipe. De invoering van het vierogenprincipe is wel één van de verbeteracties die naar aanleiding van dit incident is doorgevoerd", aldus Van Huffelen. Volgens de staatssecretaris is er naar aanleiding van het uitgevoerde digitaal forensisch onderzoek geen reden om aan te nemen dat bij andere ministeries of uitvoeringsorganisaties dergelijke praktijken plaatsvinden of hebben gevonden.
Om het vervalsen of aanpassen van rapporten tegen te gaan wordt er sinds 1 januari van dit jaar gebruikgemaakt van een digitale handtekening voor digitaal ingediende rapporten door de auditor. "Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling. Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor dat de geldigheid van de digitale handtekening komt te vervallen", voegt Van Huffelen toe. Het is echter nog niet verplicht om de rapporten digitaal in te dienen. Vanaf 1 januari volgend jaar zal dit wel het geval zijn. "Hiermee wordt manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt", aldus de staatssecretaris.
Daaruit:
Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann
Dat je vervolgens nog een kopietje per mail stuurt prima maar de actieve data is controleerbaar en leidend. Niks vier ogen principe inzage door alle betrokken responsibles met machtiging tot inzage. En als er een bezwaar maakt dient er een audit te gebeuren op het bezwaar van de betrokken responsible.
Het ontbreken van ook maar 1 verificatie en validatie is al genoeg grond om het onderzoek geheel opnieuw te moeten doen.
Never trust always verify.
Daaruit:
Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann
Details.
Daar stoort een minister zich niet aan.
Wie zegt dat niet zo gegaan is ?
Alleen degene (waarschijnlijk teamlead, contactpersoon) die het heeft opgehaald heeft het ge-edit en zo in de organisatie doorgestuurd , of intern gearchiveerd ofzo .
En de rest van de organisatie heeft het rapport nooit meer bij de bron opgehaald - totdat het een keer uitkwam.
De "rest van de organisatie" (en zeker hoger management) heeft meestal niet de informatie/credentials die nodig zijn om zo'n rapport bij de bron op te halen .
En gaat ongeveer nooit de moeite doen - en het zichtbare wantrouwen tonen - door die credentials te vragen (natuurlijk aan de teamlead) die net het rapport voor ze klaargezet heeft.
Dus staat dat netjes op de sharepoint van de betreffende afdeling .
Daaruit:
Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann
Details.
Daar stoort een minister zich niet aan.
Daaruit:
Prepub: https://www.usenix.org/conference/usenixsecurity23/presentation/rohlmann
Volgens de website van Logius moet de rapportage een EUTL-ondertekend document zijn, en aangeleverd worden als PDF...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.