Column: DigiD is lek sinds 2007
De laatste weken lijken de mensen die de overheid op ICT-gebied gelijkstellen aan een onvermijdelijk drama gelijk te krijgen. Zo zagen wij het drama DigiNotar, het lekken van de miljoenennota en aanhoudende berichten over fraude met DigiD, dit keer bij een paar straten in Rotterdam met aangiftes en andere belastingzaken. Het eind lijkt niet in zicht.
Ik ben eigenlijk een beetje verbaasd. Door de jaren heen heb ik voor verschillende grote overheidsclubs gewerkt, en ik zag daar best goede zaken op beveiligingsgebied. In een paar gevallen zelfs hele goede zaken. Maar het falen lijkt de laatste tijd structureel. Blijkbaar beschikt de overheid over onvoldoende kennis van computerbeveiliging om haar ambities als elektronische overheid waar te kunnen maken.
De overheid laat hierbij veel van haar ICT over aan de markt, en anders worden er vaak blikken externen opengetrokken. En niet alleen voor de technische uitvoering, maar ook voor de aansturing. Als er dus iets mis gaat met de ICT-kennis van de overheid, dan faalt de markt ook. De kennis is blijkbaar ook niet voor goed geld te koop.
Nu valt mij op dat diverse politici dit ICT-falen aangrijpen om de overheid als de categorische oorzaak van het probleem te kenmerken en om vervolgens te pleiten voor minder overheid en meer markt. Dat is het kapen van de discussie. Het leidt haar weg van waar het in de essentie over gaat. De essentie is dat een overheid niet dramatisch mag falen in wat ze doet, omdat de burger niet naar een concurrent kan gaan.
Overigens, als iemand serieus denkt dat de inning der rijksbelastingen geprivatiseerd moet worden, moet hij eens een geschiedenisboek over het Ancien Regime openslaan. Tot ver de 18e eeuw inde ‘de markt’ de belastingen, met massale ontduiking tot gevolg, op een schaal waar Griekenland niets bij is, en uiteindelijk desastreuze gevolgen voor de overheid.
Maar ik zou het over DigiD hebben. Deze rijksbrede voorziening toont het overheidsdrama met ICT in haar volle omvang. Laten we aan het begin beginnen. BZK is de formele eigenaar van DigiD. Het oorspronkelijke product is gebouwd door BKWI en uitgerold door de ICTU. ICTU stuurt het tegenwoordig aan. Logius beheert het. Andere organisaties koppelen hun applicaties aan de DigiD-voorzieningen.
DigiD beschermt de achterliggende systemen van heel veel verschillende eigenaren die op applicatieniveau netjes moeten integreren. Het is een omvangrijk schip met een heleboel kapiteins en de wendbaarheid van een mammoettanker. Of, in de terminologie van A-Select, de software onder DigiD, een federatie van beveiliging.
In een federatie is er een gedeeld beveiligingssysteem en zijn de aangesloten applicaties daarvan afhankelijk voor hun veiligheid, mits ze zelf goed koppelen. DigiD is dat gedeelde systeem. In de praktijk is er bij een federatie altijd sprake van leiders en volgers, maar dat is bestuurlijk niet mogelijk. Een op afstand geplaatst uitvoeringsorgaan van een kerndepartement kan immers geen opdrachten geven aan het kerndepartement van een ander ministerie, laat staan aan een gemeente of een verzelfstandigd bestuursorgaan. Dat is vragen om ongelukken.
DigiD is gebouwd op basis van een commercieel product, A-Select van Alfa Ariss, een dochter van Vasco. A-Select biedt een generieke aanlogservice voor applicaties die er ‘achter’ opgesteld staan. De beschermde applicatie krijgt van DigiD door dat iemand correct is aangelogd én wie dat is, zodat de applicatie daar dan de juiste toegangsrechten aan kan koppelen.
Zoals je in NRC Handelsblad hebt kunnen lezen, kon de fraudeur aanloggen met het DigiD van iemand anders dan diegene van wie de gegevens aangepast werden. Dat betekent dat in de applicatie achter DigiD het tweede deel - de koppeling naar de user - ontbreekt. Je moet aanloggen, maar je kunt na het aanloggen naar de spullen van een andere gebruiker. Deze omissie maakt de fraude die het NRC in Rotterdam aantrof technisch mogelijk. Dat is heel ernstig, om het maar voorzichtig uit te drukken.
Gelukkig heeft de Belastingdienst deze mogelijkheid ‘afgesloten’. Dossier gesloten?
Nee. Zo gemakkelijk gaat het niet.
Het echte probleem is dat dit misbruik jarenlang mogelijk is geweest. Weet je nog: de belastingdienst adviseerde in het voorjaar van 2007 om de DigiD van de buurman te gebruiken als je je eigen DigiD vergeten was en toch op tijd je aangifte de deur uit wilde hebben. Op technisch niveau betekent dit dat de koppeling tussen de user in DigiD en de user in de applicatie erachter op dat moment niet aanwezig was. Hetzelfde gat dus. Als er geen heel merkwaardig toeval in het spel is, bewijst dit dat DigiD in combinatie met de Belastingdienst zeker vier jaar heel erg lek is geweest. En waarschijnlijk al sinds de oplevering van de koppeling. Het advies uit 2007 bewijst tevens dat dit gat vierenhalf jaar geleden al bekend was – sterker nog, de burger werd aangemoedigd van dit beveiligingslek gebruik te maken. Feitelijk was het een oproep tot identiteitsfraude.
De enige conclusie die ik kan trekken is dat gedurende vier jaar het systeem van de Belastingdienst áchter DiGID bewust en categorisch onveilig is geweest. En pas dit jaar was er een handige buurman in Rotterdam die het geheel doorzag en omkeerde ten eigen bate, en tegoeden van z'n buren ging creëren en incasseren. De overheid wist niet beter dan de ten onrechte uitgekeerde bedragen op te eisen bij de bestolen Rotterdammers. Terwijl het gat al jaren bekend is, binnen de belastingdienst althans.
Zo’n gat vier jaar open laten. Onvoorstelbaar. Dat is niet een beetje dom. Dat is superdom. Van het verzwijgen van beveiligingsproblemen kun je failliet gaan, zoals DigiNotar nu uit eigen ervaring weet. De klanten lopen immers zo snel mogelijk weg en komen voor je het weet met schadeclaims.
Van de overheid weglopen is in de praktijk wat moeilijker en ertegen procederen bij voorbaat kansloos. En onbetaalbaar. Een overheid kan hooguit moreel failliet gaan.
Terug naar papier is ook uitgesloten. De problemen met DigiD moeten dus hoe dan ook opgelost worden. Er bestaan geen wondermiddeltjes, dus de oplossing moet passen binnen de bestaande mogelijkheden. Laten we eens zien welke dit zijn.
Een nieuw DigiD-systeem? DiGID 4.0 is nabij, en dat is een geheel ander systeem, van een andere leverancier. De belangrijkste vraag is of dit soort problemen dan nog kunnen voorkomen. DiGID 4.0 is weliswaar een moderner WebSSO (Web Single Sign On) systeem, maar ook daarbij geldt dat de koppeling met de achterliggende applicatie goed gelegd moet worden. Het antwoord is dus ja, in de nieuwe versie van DigiD kan hetzelfde mis gaan. Overigens is A-Select ook een prima product, maar in onbekwame handen is dat geen garantie. Beveiligingssoftware is nu eenmaal nooit hufterproof.
Strenger toezicht? Zoals het bij kritieke systemen van de overheid voorschrift is, worden ze met enige regelmaat door een auditor bekeken. De bevindingen zijn nooit zodanig geweest dat de systemen aangepast werden. De onderdelen zijn ieder op zich ongetwijfeld bekeken, maar wie heeft de keten bekeken? Is alleen het proces bekeken, zoals bij DigiNotar? Hoe het ook zij: er is niet goed gekeken.
Het idee uit de Tweede Kamer om voortaan ook hackers mee te laten kijken is zo slecht nog niet. Jammer genoeg is dat bij DiGID al lang gebeurd en toen was de boel blijkbaar in orde. De koppeling naar de belastingdienst is die keer hoogstwaarschijnlijk niet meegenomen, maar de belastingdienst laat zelf ook regelmatig dergelijke hackertests uitvoeren. Er wordt dus wél zorgvuldig gewerkt.
De waarde van testbevindingen door hackers - in jargon penetratietesters - is in praktijk knap lastig. Pentesten laten niet zien welke gaten er zijn, maar welke gaten de pentester op het moment van testen kon vinden. Iedere pentester zal dus weer andere dingen vinden. Bovendien mag een pentester alleen aangegeven doelen toetsen, en niet zelf op zoek gaan naar achterdeuren, want wie weet welke productiesystemen van andere partijen in de keten gestrekt gaan. De hacker met de witte hoed zal dus überbraaf bezig zijn en de bevindingen navenant. De opdrachtgever zit niet op dit soort verfijnde nuances te wachten, die wil gewoon een verklaring dat alles goed is. En de commerciële bureaus die pentesten uitvoeren, geven toch al zelden de beperkingen van de testbevindingen mee.
Daarom moeten we naar een samenhangend model van toezicht. Een breder model dat meer recht doet aan de technische vervlechting van de systemen in plaats van aan de bestuurlijke versnippering, zoals het huidige controlemodel waarin iedereen het eigen toezicht regelt ‘conform de richtlijnen’. Het geheel van een WebSSO-federatie is immers meer dan de som der delen. Toetsing moet daar rekening mee houden.
Wat écht ontbreekt in het toezicht is een klokkenluidersregeling voor de ICT-ers die met dit soort projecten te maken hebben, zoals ik begin 2009 al bepleitte. Dan kunnen de betrokken techneuten hun verhaal kwijt, wat in een normale projectcontext zelden mogelijk is. Deze regeling moet er bovenal voor zorgen dat repercussies uitblijven: boodschappers zijn immers onveranderd impopulair. Het heeft natuurlijk wel een stevig spamfilter nodig.
Een systeembrede aanpak van toezicht verschuift de discussies van het management naar de technische werkelijkheid. Dit maakt het geheel intern beduidend minder politiek gevoelig. Ik denk dat de securitytoppers die voor de overheid werken, al dan niet als inhuur, dan wel goed werk durven te leveren.
Een laatste punt. De minister heeft in dit dossier - wellicht onbewust en onbedoeld - de Kamer misleid in zijn poging tijd te rekken. Het gat was immers bekend, hoewel het bij de Belastingdienst zat en niet bij Donners eigen ministerie. Nu zal niemand dit Donner persoonlijk aanrekenen, gegeven zijn zorgvuldig gecultiveerde imago van fossiel op een opoefiets. Zo iemand snapt toch niets van computers? Toch? Je moet het Donner nageven, het is razend knap.
NRC Handelsblad had gezien het maatschappelijk belang van DigiD echter groot gelijk dat ze niet afwachtte en zelf op onderzoek uit ging. We hebben juist in het digitale overheidsdossier al een veel te lange traditie van ontkenning, woordenspelletjes, bagatelliseren en bestuurlijk traineren. Tegen dit gedrag is één Brenno de Winter veel te weinig, dus het is goed dat meer journalisten zich in dit dossier begeven. Ik hoop dat deze nieuwe lichting ook de benodigde scherpte heeft, want die is heel hard nodig om door alle leuterkakel heen te prikken.
Leuterkakel, zoals dat Donner na het vervangen van de DigiNotar-certificaten DigiD weer ‘veilig voor gebruik’ noemde. Dat is semantisch vast wel correct; en dat er maar een paar fraudegevallen met DigiD bekend zijn, ook. Er werd immers gefraudeerd ná de DigiD login, niet met DigiD zelf. Meer dan een woordenspelletje is dit echter niet. De systemen die met DigiD beveiligd zouden moeten zijn, zijn dat in minimaal één - zeer belangrijk - geval niet. En wie weet, zijn het er nog meer. Onkunde en onbekwaamheid zijn echter geen acceptabel excuus voor een minister, zoals het staatsrecht stipuleert.
En de burger? Die zit met de brokken, want de burger heeft ten opzichte van de overheid geen contractvrijheid en is veroordeeld tot het gebruik van systemen als DiGID. Ik raad iedere burger aan even na te kijken of de geldstromen van en naar de belastingdienst vanaf 2006 wel kloppen. Doe dan ook de stromen naar andere overheden, en dan niet alleen het geld. Wie weet kun je wel een bouwvergunning aanvragen voor het pand dat je over twee jaar wilt kopen, of wat dan ook dat er nog meer gekoppeld is. Gelukkig zijn dat er minder dan bedoeld. Er zouden immers nog meer handige buurmannen kunnen rondlopen, die nog niet betrapt zijn. Of die nu op het idee komen.
Maar wij zijn met z’n allen ook best wel dom: blijkbaar is bij niemand van alle kritische securitymensen in ons land een lichtje gaan branden in 2007 dat DigiD niet op de juiste manier gekoppeld was aan het achterliggende systeem van de belastingdienst. Het lijkt er veel op dat ook buiten de overheid niemand in dit land voldoende kennis van beveiliging heeft. Behalve dan die handige buurman in Rotterdam.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Meer columns van Peter Rietveld.
Kortom:even Apeldoorn bellen.
Dat is mijn weerstand tegen SSO in het algemeen, het is verdomd handig vanuit de gebruiker maar voor security kan het een ramp zijn. Zolang de gebruiker aan de voorkant niet voorzichtig is met zijn inloggegevens kun je er elk systeem tegenaan gooien wat je wilt maar veiliger krijg je het niet. Wachtwoorden, als enige authenticatie, zijn gewoon passé en er zullen meervoudige authenticatie mechanismen ingezet moeten worden om enigzins meer zekerheid te krijgen dat degene die inlogd ook degene is die in zou mogen loggen.
En dat is direct de grote uitdaging waar vrijwel niemand zijn vingers aan durft te branden. De opdracht is ook best ingewikkeld, ontwikkel een veilig authenticatie mechnisme dat voor iedere burger via het Internet moet werken en bedenk daarbij ook een veilig distributie systeem om alle benodigde authenticatie gegevens bij de gebruikers te krijgen en stel vervolgens ook de legitimiteit van de ingelogde gebruiker onomstotelijk vast zonder al te grote privacy invasieve methoden.
Mogelijk moeten we ook hier in Nederland naar een id smart card over, net als in België. Dan heb je in ieder geval een gegeven waar iedere burger over beschikt en wat digitaal te gebruiken is. Dat zal ook niet 100% veilig zijn maar daarmee heb je de huidige onveilige distributie van DiGiD gegevens wel uitgesloten.
Mijns inziens is de belangrijkste les die we kunnen leren uit zowel Diginotar als dit Belastingdienstverhaal dat er blijkbaar geen afdoende toezicht is op juist gebruik van voorzieningen. Ongetwijfeld hebben er bij Diginotar en de Belastingdienst audits plaats gevonden. En zijn er handtekeningen gezet dat de boel in orde was. Dat dit onterecht is gebeurd hoor ik weinig over. Zolang dat niet verbetert heeft investeren in een fietsslot met nog dikkere schakels weinig zin. Ad
Verder gaat dit verhaal alleen over dat ICT moeilijk is en dat het af en toe fout gaat. Dat wisten wij al. Laten wij het fixen en doorgaan met het volgende probleem. Buiten de overheid gaat het ook flink fout, maar daar hoor je nooit wat over, want mensen vinden het leuker om over de overheid de zeuren. En laten wij het probleem in perspectief houden. Veel meer mensen zijn de dupe van internet bankier fraude. Je hebt een hogere kans om in een auto ongeluk te zijn geweest dan dat je van deze fraude last hebt gehad.
Waarom zou ik in vredesnaam een papieren paspoort bij de balie van het stadhuis op moeten halen en een digitaal paspoort niet? Is een digitaal paspoort minder belangrijk?
Ik denk dat DigiD 4.0 alleen betrouwbaar kan gaan worden als die echte visuele verificatie bij uitreiking gaat plaatsvinden. En dan hopen we maar dat dat proces en de achterliggende techniek niet achterblijven bij wat we inmiddels weten.
Nog erger dus. Niet dom, maar stupide.
Dat is niet het probleem dat Peter hier beschrijft, en het is ook niet het probleem wat bij de Belastingdienst-fraude is uitgebuit. De authenticatie van Digid is niet aangetast, er is echter door de belastingdienst geen enkele poging gedaan tot autorisatie ('mag deze persoon wel doen wat hij nu probeert te doen?').
Je kunt vinden over username/password systemen wat je wil (en DigiD is nu al geschikt voor SMS-authenticatie als je password alleen onvoldoende vindt), maar er is geen enkele aanwijzing dat gecompomiteerde passwords gebruikt zijn voor deze grootschalige fraude.
Een chip op je identiteitskaart (oftewel de eNIK, die al ruim 6 jaar wordt voorbereid) is een extreem dure oplossing met zijn eigen kip-ei problematiek (wie gaat iedereen van een smartcard-reader voorzien?), maar als je uiteindelijk niet kijkt of degene die ermee inlogt ook degene is die recht heeft op de belastingteruggave heb je helemaal niks aan je extreem veilige voordeur.
Nog erger dus. Niet dom, maar stupide.
Op zich waar, je kunt onder een papieren formulier ook gewoon je eigen handtekening zetten als je het voor je buurman hebt ingevuld, en 9 van de 10 keer wordt er niks gecontroleerd bij de ontvanger van het formulier, dus kom je er mooi mee weg (zie ook alle vormen van Incassofraude voor meer voorbeelden van 'controle achteraf' a.k.a. het piepsysteem).
De reden dat er moord en brand wordt geschreeuwd is dat het digitaliseren van deze processen het juist mogelijk (en makkelijk!) maakt om dergelijke fraude te detecteren en tegen te gaan. Onze verwachtingen van het digitale proces zijn hoger (en terecht, want anders zouden we net zo goed papier kunnen blijven gebruiken).
Maar het blijft een probleem in het (digitale) proces van de Belastingdienst, niet van DigiD. Wat dat betreft legt Peter al in het eerste stuk van zijn artikel de vinger op de zere plek: Logius, als uitvoerder van BZK, heeft geen mandaat om de implementatie van digitale processen voor te schrijven aan de Belastingdienst (Ministerie van Financien), aan gemeentes of aan andere zelfstandige bestuursorganen. Een echte minister van ICT, met echte macht om dwingend securitymaatregelen voor te schrijven is veel harder nodig dan meer ICT experts bij de overheid (want expertise kun je wel degelijk goed inhuren in de markt en ook bij Govcert zitten echt voldoende knappe koppen).
Nog erger dus. Niet dom, maar stupide.
Risico-analyse is een woord dat bij de overheid helaas te weinig wordt gehoord (sommige onderdelen uitgezonderd). Toen DigiD bij de Belastingdienst is ingevoerd is er wel degelijk nagedacht over de risico's, bijvoorbeeld wat als iemand anders jouw aangifte ondertekent met zijn eigen DigiD. Dat werd inderdaad beschouwd als niet groot risico en sterker nog als welkome functionaliteit (omdat je dan bij vergeten van je DigiD je aangifte kan laten ondertekenen door een huisgenoot of buurman). Wat is immers het ergste dat kan gebeuren als een ander jouw aangifte invult? Je krijgt zelf immers op papier de aanslag in de bus en kan vervolgens bezwaar maken zonder dat er een cent naar de verkeerde rekening wordt overgemaakt.
Vervolgens is die functionaliteit een-op-een overgenomen bij de ondertekening van aanvragen voor huursubsidie/zorgtoeslag etc., zonder dat er een NIEUWE risico-analyse is gemaakt. Bij toeslagen, waarbij je dan ook nog zelf een rekeningnummer kon opgeven, is er echter een direct frauderisico dat niet onderkend is. Op zichzelf kun je nog beargumenteren dat het risico ook hier beperkt is, omdat de bankrekening van bijschrijving bekend is en je dus altijd het geld kunt terugclaimen bij degene die het onterecht heeft ontvangen. Dat gaat echter voorbij aan de imago-schade die wordt opgelopen als dergelijke fraude in het nieuws komt (zoals nu het geval is).
Is een lek geen lek wanneer je deze kwetsbaarheid bewust in een systeem laat zitten ? Een accepted risk is nog altijd een risk.
Dus wat gebeurt er de "toppers" in ICT in Nederland, besteden alles uit naar India.
Het zou me niets verbazen als de overheid via "toppers" in de ICT toegang tot haar ICT heeft gegeven aan landen ver buiten Europa.
Dat zou eens onder de loep genomen moeten worden...en daar is DigId een lachertje bij.
Laten we even snel een onderzoekje doen: http://trak.in/tags/business/2010/04/23/top-best-100-outsourcing-companies-2010/
pakken we er een van: http://en.wikipedia.org/wiki/MindTree
Focus op de klanten http://mindtree.com/clients/clients
jaja we zien het goed ff snel gekeken even 5 uit de grote lijst
- CapGemini
- Verisign
- Microsoft
- (mis Getronics en Atos Origin trouwens en die horen er echt bij)
http://www.mydigitalfc.com/it/mindtree-expands-strategic-partnership-getronics-925
Wacht eens even en wie zijn de klanten van die top ICT bedrijven dan, daar valt dan toch ook de overheid onder?
Journalisten wakker worden!!!
Het zou me niets verbazen als vandaag of morgen nog veel ergere problemen gaan spelen en daar is DigiID een lachtertje bij.
DAAR MOET ONDERZOEK NAAR GEDAAN WORDEN!
want dit is een sluimerende kernramp op ict gebied.
In Belgie kan je de readers kopen vanaf 12 Euro. Er is software voor Windows, MacOS en Linux beschikbaar.
Er zijn door verschillende instanties zeer veel smartcard-readers uitgedeeld. Ik heb de mijne bijvoorbeeld van mijn ziekenfonds gekregen.
In Belgie kan je de readers kopen vanaf 12 Euro. Er is software voor Windows, MacOS en Linux beschikbaar.
Er zijn door verschillende instanties zeer veel smartcard-readers uitgedeeld. Ik heb de mijne bijvoorbeeld van mijn ziekenfonds gekregen.
De Belgen doen het beter (in elk geval wat betreft e-overheid), dat was een aantal jaar geleden al bekend. Ik hoorde wel ooit dat de Belgische overheid smartcard/reader geen open standaarden gebruikte maar een eigen, gesloten systeem, maar heb daar zelf verder geen onderzoek naar gedaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
