image

Minister: DigiD niet misbruikt door hackers

vrijdag 1 maart 2013, 13:51 door Redactie, 3 reacties

Een recent ontdekt beveiligingslek in de software waar DigiD gebruik van maakt is niet door kwaadwillenden gebruikt om op de DigiD-systemen in te breken en gegevens van burgers te stelen. Dat laat Minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties weten in een verslag over het offline gaan van DigiD op 9 januari. DigiD is de dienst waarmee burgers bij zich bij allerlei overheidsorganisaties kunnen aanmelden.

Op 9 januari werd er een ernstig beveiligingslek in Ruby on Rails ontdekt, het platform waar DigiD gebruik van maakt. Vanwege de ernst van de kwetsbaarheid werd besloten DigiD offline te halen. Via het lek zouden aanvallers toegang tot de DigiD-database kunnen krijgen.

"Belangrijk is de constatering dat, ook na het nader onderzoek, geen aanwijzingen zijn gevonden dat misbruik van de kwetsbaarheid in Ruby on Rails is gemaakt op DigiD en dat er dus geen persoonsgegevens van burgers in verkeerde handen terecht zijn gekomen", aldus Plasterk.

Die merkt tevens op dat dit de eerste keer is in de geschiedenis van DigiD dat de dienst gedurende 10 uur uit de lucht is geweest. "DigiD kent een zeer hoog beschikbaarheidspercentage. In het afgelopen jaar betrof dat 99,83%."

Authenticatie
De minister reageert ook op de suggestie van GroenLinks-Kamerlid Voortman. Die vond dat een beter beveiligd identificatiesysteem, bijvoorbeeld een systeem zoals door banken gebruikt wordt, dringend gewenst is. Hoewel er geen plannen zijn om het authenticeren van DigiD-gebruikers te wijzigen, heeft de overheid vorig jaar wel een onderzoek naar alternatieve inlogmethoden uitgevoerd.

Het gaat om de ontwikkeling van een stelsel van elektronische identiteit, waarbij de inzet van particuliere instrumenten naast de bestaande overheidsmiddelen mogelijk wordt gemaakt. Dit zou volgens Plasterk niet worden gedaan wegens de onveiligheid van de bestaande overheidsvoorzieningen, maar voor het stimuleren van de digitalisering van de dienstverlening, ook in Europees verband.

Ook het vergoten van keuzemogelijkheden voor burgers en bedrijven zou daarbij een rol spelen. Over de ontwikkeling van een stelsel van elektronische identiteit heeft echter nog geen politieke besluitvorming plaatsgevonden.

Reacties (3)
01-03-2013, 19:34 door WesleySmalls
"Die vond dat een beter beveiligd identificatiesysteem, bijvoorbeeld een systeem zoals door banken gebruikt wordt, dringend gewenst is"

Bij mijn bank log ik in met gebruikersnaam en wachtwoord. Als ik betaal moet ik een TAN-code via de telefoon opgeven. Ik zie niet hoe dat veiliger is dan Gebruikersnaam+Wachtwoord en een code via de telefoon.
02-03-2013, 14:53 door Hans_US
Elke beveiliging is zo sterk als z'n zwakste schakel. Bij deze authenticatie zijn alle drie de elementen zwak: de gebruikersnaam is te voorspellen, een wachtwoord is te achterhalen en de telefoon is nog niet gemakkelijk te kopieren.

De combinatie is wel sterker als de gebruikersnaam/wachtwoord maar het is nog niet de goude oplossing.
03-03-2013, 17:20 door Anoniem
Ik heb naar aanleiding van een nieuwe internetprovider geprobeerd om mijn e-mailadres te wijzigen bij Digid. Hiertoe moest ik in mijn firewall het Logius-domein vrijgeven. Hierna... u raadt het al, lukte het nog steeds niet?! Wij (de belastingbetalers) maken kennelijk nog steeds gebruik van low-budget dienstverleners. Daarbij hoop ik maar dat het met de beveiliging wel goed zit...

Afz. ing. C.T. Boshuis
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.