Minister: DigiD niet misbruikt door hackers
Een recent ontdekt beveiligingslek in de software waar DigiD gebruik van maakt is niet door kwaadwillenden gebruikt om op de DigiD-systemen in te breken en gegevens van burgers te stelen. Dat laat Minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties weten in een verslag over het offline gaan van DigiD op 9 januari. DigiD is de dienst waarmee burgers bij zich bij allerlei overheidsorganisaties kunnen aanmelden.
Op 9 januari werd er een ernstig beveiligingslek in Ruby on Rails ontdekt, het platform waar DigiD gebruik van maakt. Vanwege de ernst van de kwetsbaarheid werd besloten DigiD offline te halen. Via het lek zouden aanvallers toegang tot de DigiD-database kunnen krijgen.
"Belangrijk is de constatering dat, ook na het nader onderzoek, geen aanwijzingen zijn gevonden dat misbruik van de kwetsbaarheid in Ruby on Rails is gemaakt op DigiD en dat er dus geen persoonsgegevens van burgers in verkeerde handen terecht zijn gekomen", aldus Plasterk.
Die merkt tevens op dat dit de eerste keer is in de geschiedenis van DigiD dat de dienst gedurende 10 uur uit de lucht is geweest. "DigiD kent een zeer hoog beschikbaarheidspercentage. In het afgelopen jaar betrof dat 99,83%."
Authenticatie
De minister reageert ook op de suggestie van GroenLinks-Kamerlid Voortman. Die vond dat een beter beveiligd identificatiesysteem, bijvoorbeeld een systeem zoals door banken gebruikt wordt, dringend gewenst is. Hoewel er geen plannen zijn om het authenticeren van DigiD-gebruikers te wijzigen, heeft de overheid vorig jaar wel een onderzoek naar alternatieve inlogmethoden uitgevoerd.
Het gaat om de ontwikkeling van een stelsel van elektronische identiteit, waarbij de inzet van particuliere instrumenten naast de bestaande overheidsmiddelen mogelijk wordt gemaakt. Dit zou volgens Plasterk niet worden gedaan wegens de onveiligheid van de bestaande overheidsvoorzieningen, maar voor het stimuleren van de digitalisering van de dienstverlening, ook in Europees verband.
Ook het vergoten van keuzemogelijkheden voor burgers en bedrijven zou daarbij een rol spelen. Over de ontwikkeling van een stelsel van elektronische identiteit heeft echter nog geen politieke besluitvorming plaatsgevonden.
Bij mijn bank log ik in met gebruikersnaam en wachtwoord. Als ik betaal moet ik een TAN-code via de telefoon opgeven. Ik zie niet hoe dat veiliger is dan Gebruikersnaam+Wachtwoord en een code via de telefoon.
De combinatie is wel sterker als de gebruikersnaam/wachtwoord maar het is nog niet de goude oplossing.
Afz. ing. C.T. Boshuis
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
