Minister: DigiD niet misbruikt door hackers
Een recent ontdekt beveiligingslek in de software waar DigiD gebruik van maakt is niet door kwaadwillenden gebruikt om op de DigiD-systemen in te breken en gegevens van burgers te stelen. Dat laat Minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties weten in een verslag over het offline gaan van DigiD op 9 januari. DigiD is de dienst waarmee burgers bij zich bij allerlei overheidsorganisaties kunnen aanmelden.
Op 9 januari werd er een ernstig beveiligingslek in Ruby on Rails ontdekt, het platform waar DigiD gebruik van maakt. Vanwege de ernst van de kwetsbaarheid werd besloten DigiD offline te halen. Via het lek zouden aanvallers toegang tot de DigiD-database kunnen krijgen.
"Belangrijk is de constatering dat, ook na het nader onderzoek, geen aanwijzingen zijn gevonden dat misbruik van de kwetsbaarheid in Ruby on Rails is gemaakt op DigiD en dat er dus geen persoonsgegevens van burgers in verkeerde handen terecht zijn gekomen", aldus Plasterk.
Die merkt tevens op dat dit de eerste keer is in de geschiedenis van DigiD dat de dienst gedurende 10 uur uit de lucht is geweest. "DigiD kent een zeer hoog beschikbaarheidspercentage. In het afgelopen jaar betrof dat 99,83%."
Authenticatie
De minister reageert ook op de suggestie van GroenLinks-Kamerlid Voortman. Die vond dat een beter beveiligd identificatiesysteem, bijvoorbeeld een systeem zoals door banken gebruikt wordt, dringend gewenst is. Hoewel er geen plannen zijn om het authenticeren van DigiD-gebruikers te wijzigen, heeft de overheid vorig jaar wel een onderzoek naar alternatieve inlogmethoden uitgevoerd.
Het gaat om de ontwikkeling van een stelsel van elektronische identiteit, waarbij de inzet van particuliere instrumenten naast de bestaande overheidsmiddelen mogelijk wordt gemaakt. Dit zou volgens Plasterk niet worden gedaan wegens de onveiligheid van de bestaande overheidsvoorzieningen, maar voor het stimuleren van de digitalisering van de dienstverlening, ook in Europees verband.
Ook het vergoten van keuzemogelijkheden voor burgers en bedrijven zou daarbij een rol spelen. Over de ontwikkeling van een stelsel van elektronische identiteit heeft echter nog geen politieke besluitvorming plaatsgevonden.
Bij mijn bank log ik in met gebruikersnaam en wachtwoord. Als ik betaal moet ik een TAN-code via de telefoon opgeven. Ik zie niet hoe dat veiliger is dan Gebruikersnaam+Wachtwoord en een code via de telefoon.
De combinatie is wel sterker als de gebruikersnaam/wachtwoord maar het is nog niet de goude oplossing.
Afz. ing. C.T. Boshuis
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.